ransomware

Las filtraciones recientes de los registros de chat del grupo Conti han revelado una riqueza sin precedentes de información y conocimientos sobre cómo se organizan estos ciberdelincuentes veteranos y una operación cibercriminal organizada

Los proveedores de Cyber Threat Intelligence (CTI) y los investigadores independientes han pasado semanas analizando los registros de chat filtrados de Conti y han descubierto docenas de hallazgos muy importantes.

Las filtraciones de Conti son gigantescas, abarcan años de operaciones del grupo y cada día aparece algo nuevo.

Reconocimiento

Un descubrimiento importante en las filtraciones de Conti es que varios proveedores han cubierto la existencia de un «Equipo OSINT» que recopilaba detalles sobre los posibles objetivos del grupo. Este equipo utiliza múltiples técnicas, así como herramientas comerciales, para encontrar toda la información necesaria para desplegar el ransomware en todo el dominio de la organización. Este equipo OSINT también puede interactuar con los objetivos (HUMINT), haciéndose pasar por personas de marketing o ventas, recopilaba detalles e información sobre gerentes, ejecutivos y la forma en cómo opera la empresa.

Phishing y suplantación de identidad

Está bien documentado que los ataques de ransomware Conti a menudo comienzan a través de un correo electrónico de phishing. El grupo ha estado lanzando campañas de phishing generalizadas y dirigidas durante años utilizando una multitud de tácticas. Conti Leaks también compartió algunas ideas sobre cómo se organizan estas campañas de phishing.

Malware

Conti Leaks reveló detalles sobre cómo una operación cibercriminal profesional desarrolla sus campañas de malware. Se destaca la forma en cómo trabajaba el grupo para probar y desarrollar sus payloads contra los sistemas de detección comunes utilizados por sus objetivos, como las empresas antivirus y las herramientas de seguridad el sistema operativo. Siempre buscaban que sus creaciones fueran Fully UnDetectable (FUD).

Comando y Control (C2)

Como cualquier grupo de malware, Conti necesitaba un servidor y una infraestructura de alojamiento para poder lanzar sus campañas. Esto incluye servidores de prueba de carga útil, servidores proxy, dominios C2, servidores privados virtuales (VPS) y almacenamiento remoto para datos extraídos.

Tradecraft, Exploits y 0-Days

Lo que distingue a Conti del resto de sus pares en el ecosistema del cibercrimen es que los miembros de este grupo de ransomware son innovadores y rápidos para aprovechar las técnicas recientemente reveladas. Conti Leaks reveló múltiples técnicas utilizadas por Conti que no se habían discutido previa o públicamente en línea.

Imperio del cibercrimen

Los investigadores han declarado que creen que Conti tenía más de 150 miembros en todo el mundo. Si hacemos los cálculos, supuestamente a cada miembro se le paga un promedio de U$S 2.000 por mes, lo que equivale a aproximadamente U$S 300.000 por mes en salarios de «empleados» de Conti y aproximadamente U$S 3.600.000 por año. Esto es MUCHO para un grupo de ciberdelincuencia. Con esta cantidad de poder adquisitivo, es natural que el liderazgo de Conti comenzara a preguntarse acerca de las adquisiciones y comenzar sus propios foros, tiendas de tarjetas e incluso plataformas de criptomonedas.

Los investigadores compartieron capturas de pantalla de todos los enlaces pegados en los chats de Conti. Por ejemplo, un logotipo con «McDuckGroup» y «Scrooge McDuck». Si bien algunos investigadores teorizaron que se trataba de un cambio de marca de ransomware, en realidad era el logotipo de un mercado de tarjetas en desarrollo. Después de buscarlo, apareció un sitio llamado «mcduckgroup[.]shop». Evidentemente, se trata de un marketing de tarjetas debido a las barras de búsqueda de números BIN, fechas de caducidad, nombres de titulares de tarjetas y direcciones. Actualmente no se han cargado datos en el sitio.

Secuestro de datos

En Conti Leaks se mencionan otros grupos de ransomware. Los investigadores de Trellix destacaron cómo los representantes de NetWalker, MAZE y LockBit tienen presencia en el servidor de chat de Conti. Las familias de ransomware Ryuk, Diavol, REvil, AvosLocker, BlackMatter y Crylock también se mencionan en Conti Leaks.

Comentarios finales

Los Conti Leaks han brindado a los investigadores de delitos una mirada sin precedentes sobre cómo operan los grupos de cibercrimen organizados de habla rusa. Las filtraciones también complementan el Conti Playbook que fue filtrado por un miembro descontento en agosto de 2021.

Para el propio grupo Conti, sin embargo, parece ser el negocio habitual (Business as Usual (BAU) porque, menos de una semana después de que se filtraran sus chats, ya se estaban cargando nuevas víctimas en el sitio Darknet de ContiNews.

BleepingComputer también informó sobre grupos de hacktivistas, como Network Battalion 65 (aka NB65), que ya están aprovechando una versión modificada del código fuente filtrado de Conti v3. El grupo ha apuntado a organizaciones en Rusia para vengarse de la invasión en Ucrania (muestra).

Aparentemente, Conti se ha recuperado de las filtraciones y podría estar en la etapa de operaciones «demasiado grande para fallar». El estado ruso está claramente al tanto de las operaciones de Conti y les permite operar con impunidad. Los investigadores de Trellix destacaron las conexiones del grupo con el estado ruso y cómo los servicios de inteligencia también se benefician del codiciado acceso a la red de Conti para organizaciones de alto perfil en todo el mundo.

Fuente y redacción: segu-info.com.ar

Compartir