Los registros de chat pertenecientes al grupo de ransomware Conti se filtró en línea gracias a una aparente fuente interna, que afirmó haberse opuesto al apoyo del grupo a la invasión rusa de Ucrania.
La fuga se compartió con VX-Underground, un grupo de investigación de malware que recopila muestras y datos de malware. El conjunto de datos filtrado tiene alrededor de 400 archivos que contienen decenas de miles de registros de chat internos del grupo Conti en su ruso nativo. Los archivos contienen aproximadamente un año de mensajes que datan de enero de 2021, unos seis meses después de que el grupo se formara por primera vez a mediados de 2020.
Los expertos en ransomware ya están estudiando detenidamente los archivos para obtener más información sobre las operaciones internas del grupo. El investigador de seguridad Bill Demirkapi tradujo los archivos al inglés.
Conti es un grupo de ransomware como servicio (RaaS), que permite a los afiliados alquilar el acceso a su infraestructura para lanzar ataques. Los expertos dicen que Conti tiene su sede en Rusia y puede tener vínculos con la inteligencia rusa.
A principios de esta semana, Conti dijo en una publicación de blog, informada por primera vez por Reuters y vista también por TechCrunch, que tenía «total apoyo» para la invasión rusa de la vecina Ucrania, y prometió tomar represalias contra la infraestructura crítica si Rusia es atacada con ataques cibernéticos o ataques militares. En una publicación actualizada, el grupo afirmó que no está aliado con ningún gobierno, pero reiteró: «Usaremos nuestros recursos para contraatacar si el bienestar y la seguridad de los ciudadanos pacíficos están en juego debido a la ciberagresión estadounidense».
Se ha culpado a Conti de los ataques de ransomware dirigidos a docenas de empresas, incluidas Fat Face y Shutterfly, así como a infraestructuras críticas, como centros de despacho de emergencia y redes de primeros auxilios. En mayo pasado, Conti desconectó las redes del servicio de atención médica irlandés, lo que obligó a un cierre nacional de los sistemas de TI que provocó graves retrasos en todo el país y le costó al gobierno más de U$S 100 millones en costos de recuperación.
Según ransomwhe.re, un sitio de seguimiento de ransomware colaborativo, Conti ha recaudado más de 30,1 millones de dólares en pagos de ransomware hasta la fecha. «La filtración es un golpe significativo para Conti, sobre todo porque sus afiliados y otros asociados habrán perdido la confianza en la operación», dijo Brett Callow, experto en ransomware y analista de amenazas de Emsisoft. «Sin duda se preguntarán cuándo se comprometió la operación, si la policía estuvo involucrada y si hay migas de pan que podrían llevarlos a ellos».
«Muchas operaciones de RaaS tienen conexiones con Ucrania, incluidas las que tienen su sede en Rusia. Por lo tanto, es un error táctico que una operación tome partido públicamente, ya que corre el riesgo de enojar a las personas que tienen conocimiento interno de sus operaciones», dijo Callow.
La filtración de los archivos de Conti es parte de un esfuerzo más amplio de los hacktivistas y aliados de seguridad, incluida la formación del «IT Army» de Ucrania, que tiene como objetivo los sitios, servicios e infraestructura rusos en respuesta a la invasión del Kremlin.
