Conti: Una Mirada Íntima al Grupo Ruso de Ransomware

Escrito por Kate Esprit & Evan Gordenker

Este post es parte de nuestra serie sobre la guerra entre Rusia y Ucrania, específicamente sobre los aspectos menos conocidos del conflicto y sus implicaciones para guerra cibernética hoy en día. Si le interesa hacer una donación a víctimas en Ucrania, por favor, considere esta lista de organizaciones.

Introducción

La invasión rusa a Ucrania ha provocado el involucramiento de hackers clandestinos. Aunque estos grupos normalmente son motivados por el dinero, algunos de estos ciberatacantes han abandonado sus motivos usuales y están digiriendo sus operaciones al apoyo por Rusia o Ucrania. Uno de estos grupos, Conti, recientemente declaró su apoyo por el lado ruso y juró luchar contra los enemigos del Kremlin.

Conozca a Conti, una banda rusa de Ransomware as a Service (RaaS) que se apareció en 2020. Conti rápidamente se estableció como una de las bandas criminales de ransomware más sofisticadas y despiadadas, y llegó a ser asociada con más de 400 ataques. El grupo es conocido por robar credenciales a explotar o servicios remotos de la red o vulnerabilidades de software, con fin de apagar redes enteras y exigir rescate hasta $25 millones.

Conti es particularmente desconfiable como un grupo de ransomware, y sus miembros históricamente han negado devolver los datos de sus victimas aún se pagaron el rescate. El grupo también suele utilizar el método doble extorsión, en que los atacantes exfiltran información confidencial antes de cifrarla para luego extorsionar a las víctimas y amenazarlas con publicar los datos exfiltrados a menos que paguen el dinero exigido. En mayo de 2021, Conti apuntó al sector público de salud de Irlanda, HSE, en un ciberataque que paralizó la infraestructura médica nacional. Los hackers le dieron al HSE un descifrador para recuperar los datos perdidos, con el entendimiento que Conti todavía publicaría la información si HSE les negara a pagar $20 millones.

Apoyo ruso y respuesta ucraniana

En el 25 de febrero de 2022, Conti publicó las siguientes declaraciones que afirmaron su apoyo completo por Rusia y amenazaron a enemigos del Kremlin.

Publicaciones oficiales de Conti declarando apoyo por Rusia en la invasión

(Fuente: Conti Leaks Blog)

Sin embargo, estos anuncios fuertes en favor de Rusia no tuvieron el efecto deseado. Sólo dos días después, el usuario de Twitter @ContiLeaks le hizo al Conti lo que el grupo criminal había hecho a sus víctimas – fugaron datos confidenciales. Se cree que ContiLeaks es un investigador ucraniano desconocido. Este usuario publicó un montón de datos internos de Conti, incluso su código fuente y comunicaciones privadas.

La información fugada también consistió en mensajes privados entre los miembros de Conti, publicados por los servicios de mensajería Jabber y Rocket.Chat. Según estos registros de chat, pareció que Conti hubiera sido conectado con servicios rusos de inteligencia. En especial, se observó que Conti recibió ordenes del Servicio Federal de Seguridad de Rusia (FSB) a hackear un contribuidor de Bellingcat, un grupo investigador de periodismo que en aquel momento estaba investigando el encarcelamiento del disidente ruso Alexei Navalny. La conexión entre Conti y el FSB está detallada por una serie de tweets por Cristo Grosev, el director ejecutivo de Bellingcat.

Inmediatamente después de la fuga, Conti aparentemente todavía estaba operando como normal, lo que se mostró en la apariencia de nuevos víctimas en el sitio web del grupo. Sin embargo, cuando la comunidad de ciberseguridad se comenzaba a aprovechar de estos datos fugados con detalles íntimas de la organización, infraestructura, y herramientas de Conti, pareció que el grupo pausó sus operaciones públicas. Según un reporte por Cyberint, los lideres de Conti temporalmente apagaron su infraestructura, eliminaron archivos, y discontinuaron comunicaciones. Reportes recientes de inteligencia sugieren que la banda hubiera resumido sus operaciones.

Investigaciones policiales contra Conti

Conti tiene mucha experiencia con redirigirse después de ser apuntado públicamente. Abajo son algunos ejemplos de operaciones policiales que afectaron al grupo:

• Enero 2022: Oficiales rusos detuvieron miembros REvil, un competidor de Conti, a pedido del gobierno estadounidense. Antes de detenerlos, autoridades policiales en Rusia también estaban investigando Conti, aunque el grupo nunca fue afectado por las detenciones. Un miembro de Conti anunció que el policía le había asegurado que la banda no sería impactado.

  • Algunos expertos de asuntos internacionales caracterizaron las detenciones de REvil como un esfuerzo aplacar el gobierno estadounidense mientras Rusia se preparaba para la invasión a Ucrania.

• Enero de 2021: Un esfuerzo colectivo policial contra Emotet, un botnet grande, culminó con la incautación de servidores utilizados para controlar a Emotet y la detención de algunos de sus operadores.

  • Estas acciones difundieron temporalmente por Conti y el grupo se organizaron bajo nuevos alias.

• Septiembre de 2020: La Agencia Nacional de Seguridad (NSA) y el Cibercomando de los EEUU lanzaron una operación a eliminar el botnet TrickBot, lo cual en aquel momento era el botnet más grande. Ese botnet era una fuente clave de sistemas comprometidos.

  • La operación sentó un precedente para los gobiernos responder a grupos cibercriminales.  

Al fin del día, son negocios

Como dicho anteriormente, Conti es conocido como un operador particularmente despiadado y codicioso. Mientras esta banda de hackers se defina por sus campañas sofisticadas y innovadoras, la fuga reciente de sus comunicaciones demuestra que Conti experimenta problemas internos como cualquiera organización.

Los registros de chat abajo son unas capturas de conversaciones entre miembros de Conti por Jabber y revelan el mundo interior de una banda de ransomware. Los gerentes se quejan de bajo rendimiento, empleados se quejan de haberse negado sus días de vacaciones, y muchos parecen sentirse insatisfechos con sus sueldos.  

Operador “Specter” llama a ingenieros de Conti como “perezosos” (Fuente: Conti Leaks Blog)

Operador “Mango” parece quejarse del pago (Fuente: Conti Leaks Blog)

Conclusión: los negocios están creciendo

A pesar de su falta de actividades cibernéticas recientes, Conti no se va para ningún lugar. Según la alerta publicada por la Agencia de Seguridad Cibernética y Infraestructura (CISA) de los EEUU en 9 de marzo de 2022, las operaciones de Conti han superado 1,000 ataques.

Conti hace negocios por criptomonedas y depende mucho en Bitcoin. Según la plataforma de blockchain Chainanalysis, el grupo recibió por lo menos $180 millones en pagamientos de rescate en 2021. Algunos estudios reportan que el grupo tiene más de $2 billones en Bitcoin. Tanta rentabilidad probablemente indica que el ransomware continuará como una fuente lucrativa para cibercriminales. Además, los costes de ataques de ransomware también impactaron a primas de ciberseguro, que aumentaron dramáticamente por 34% en el último cuarto de 2021.

Puesto que la comunidad de ciberseguridad ya sabe sobre Conti, la banda favorece ayudar en operaciones del gobierno ruso. Esto reducirá la probabilidad que o Conti o otros grupos de ciberatacantes rusos sean llevados ante la justicia. Dado al aumento de tensiones entre Rusia y el resto del mundo, hay poca posibilidad de otra ola de detenciones como las de REvil. Hay aún menos posibilidad de que las operaciones criminales de ransomware se paren, entonces seguramente Conti seguirá apuntando a víctimas a lo largo del mundo.

Approved for Public Release; Distribution Unlimited. Public Release Case Number 22-0870. The author's affiliation with The MITRE Corporation is provided for identification purposes only, and is not intended to convey or imply MITRE's concurrence with, or support for, the positions, opinions, or viewpoints expressed by the author.'©2022 The MITRE Corporation. ALL RIGHTS RESERVED.