Si chiude l’ultimo capitolo della storia di Conti, famigerata operazione ransomware di cui si è discusso per lungo tempo, soprattutto alla luce della divulgazione del suo codice sorgente nell’ambito della nota vicenda dei “Conti Leaks“.

Sebbene il gruppo Conti avesse già iniziato a ridurre e terminare le proprie operazioni da maggio, con la disattivazione dell’infrastruttura interna, fra cui i server preposti alle comunicazioni e allo storage.

After 28 days without any new victims, most of Conti #Ransomware infrastructure is down

This is the end? or a new start? #Conti pic.twitter.com/29qJzKgmsh

— DarkFeed (@ido_cohen2) June 22, 2022

Affidandosi a Twitter, l’analista Ido Cohen segnala la disattivazione quasi totale dell’infrastruttura Conti, chiedendosi se si tratti davvero della fine o di un nuovo inizio per il gruppo di cybercriminali. Al momento, tutta la parte tecnica rivolta al pubblico risulta disattiva, ovvero due server Tor preposti alla divulgazione dei dati e ai negoziati con le vittime, segnale che, comunque, l’operazione nota come Conti abbia cessato le sue attività.

E mentre i membri del gruppo cercano di passare inosservati mentre “migrano” verso altre destinazioni in cui continuare le proprie attività criminali, Conti sta cercando di creare una parvenza di “normalità” attraverso un data leak a danno di bersagli in Costa Rica, tuttavia non risultano ulteriori attacchi da maggio e i dati divulgati da quest’ultimo membro di Conti risalgono a violazioni precedenti, condivise anche sul sito di Hive (di cui tale membro risulta affiliato), probabilmente per confondere ancora di più le acque.

Insomma, queste attività sembrano un bluff, per sviare ricercatori e forze dell’ordine, mentre il gruppo continua a smantellare la propria struttura e i membri passano ad altri gruppi criminali.

Ricordiamo che Conti ha origine russa, con attacchi partiti dall’estate 2020. Il ransomware del gruppo è stato considerato anche il successore del temuto Ryuk, e nel corso della sua attività ha colpito diversi bersagli, fra cui Advantech.

La popolarità del gruppo è aumentata dopo gli attacchi che hanno bloccato per settimane vari sistemi informatici dislocati in Irlanda, dopodiché, Conti si è trasformato in un vero e proprio sindacato criminale, le cui operazioni includevano anche malware come TrickBot.

L’inizio della fine per Conti è arrivato quando, dopo aver appoggiato apertamente la Russia nel conflitto con l’Ucraina, un ricercatore ucraino ha dato il via al Conti leak, divulgando chat interne al gruppo e, soprattutto, il codice sorgente dello strumento di crittografia del ransomware Conti.