Conti: un esempio di Malware as a Service

Conti - un esempio di MaaS

In un articolo precedente, che potete consultare qui, abbiamo distinto le categorie principali di malware. Oggi vorremmo parlarvi di una fattispecie piuttosto particolare dei Malware as a Service: il malware “Conti”.

Per parlare correttamente della questione è necessario sottolineare qualcosa di ovvio eppure a volte sottovalutato. Ci vogliono abilità particolari per riuscire a scrivere un malware così potente e che riesca a bypassare le misure di sicurezza e le analisi comportamentali. Per questo motivo spesso il malware viene “acquistato” o per meglio dire “noleggiato”. Si parla dunque di Malware as a Service. 

Kaspersky ne da la seguente definizione:

 

In data 22/09/2021 la Cyber & Infrastructure Security Agency (CISA), ha emanato un alert d’urgenza concernente il malware Conti (AA21-265A). Ciò che ha determinato l’agenzia ad esprimersi è stato un notevole incremento, nell’ultimo periodo, del novero degli attacchi (circa 400) con successiva installazione del malware.

Sebbene presenti varie similitudini con altri malware notevolmente conosciuti come Sodinokibi e Ryuk, ci sono alcune caratteristiche peculiari. Infatti, citando l’articolo di CyberSecurity360:

 

Tuttavia la CISA ha notato che tale Malware as a Service sembra aver utilizzato un modello di business differenziato rispetto al classico modello. Infatti, invece d’offrire una percentuale sul riscatto derivante da un eventuale successo, sembra offrire un pagamento standard agli “installatori”. 

Proprio tale caratteristica, insieme al fatto d’essere tendenzialmente attivato manualmente, lo rende innovativamente minaccioso. Gli attori, infatti, si prendono tutto il tempo necessario all’installazione. A tal riguardo, vi consigliamo l’articolo di Tiziana Carboni, Marketing Manager di Sophos Italia, pubblicato sul dominio di Sophos relativo alle news che potete trovare qui

La propagazione della minaccia, come identificato dalla CISA, tende ad avvenire per i classici canali:

 

Quindi, come agire per ridurre il rischio di una possibile compromissione?

  1. Formazione degli utenti. Come sempre è un punto fondamentalmente critico dell’intero perimetro di sicurezza: è necessario formare gli utenti al fine di ridurre le possibilità di compromissione da allegati, phishing links, etc.;
  2. Effettuare analisi preventive di sicurezza al fine dell’identificazione delle vulnerabilità presenti in un’infrastruttura – sia dall’esterno che dall’interno.
Affronta i problemi prima che si presentino:
guarda come potremmo aiutarti!