Incluso cuando los operadores de Conti amenazaron con derrocar al gobierno de Costa Rica , la notoria banda de ciberdelincuentes eliminó oficialmente su infraestructura de ataque a favor de migrar sus actividades cibernéticas maliciosas a otras operaciones auxiliares, incluidas Karakurt y BlackByte.
«Desde el sitio de negociaciones, las salas de chat, los mensajeros hasta los servidores y los hosts proxy, la marca Conti, no la organización en sí, se está cerrando», dijeron en un informe los investigadores de AdvIntel Yelisey Bogusalvskiy y Vitali Kremez. «Sin embargo, esto no significa que los propios actores de amenazas se estén retirando».
Se dice que la terminación voluntaria, con la excepción de su blog de nombre y vergüenza, ocurrió el 19 de mayo de 2022, mientras se realizaba una reorganización organizacional simultáneamente para garantizar una transición sin problemas de los miembros del grupo de ransomware.
AdvIntel dijo que Conti, que también se rastrea bajo el nombre de Gold Ulrick , orquestó su propia desaparición utilizando técnicas de guerra de información.
La disolución también sigue a la lealtad pública del grupo a Rusia en la invasión de Ucrania por parte del país, lo que asestó un duro golpe a sus operaciones y provocó la filtración de miles de registros de chat privados, así como su conjunto de herramientas, convirtiéndolo en una «marca tóxica».
Se cree que el equipo de Conti ha estado creando subdivisiones activamente en el transcurso de los últimos dos meses. Pero al mismo tiempo, el grupo comenzó a tomar medidas para controlar la narrativa, enviando «señales de humo» en un intento de simular los movimientos de un grupo activo.
«El ataque a Costa Rica de hecho puso a Conti en el centro de atención y les ayudó a mantener la ilusión de vida por un poco más de tiempo, mientras se llevaba a cabo la verdadera reestructuración», dijeron los investigadores.
«El único objetivo que Conti había querido cumplir con este ataque final era usar la plataforma como una herramienta de publicidad, representando su propia muerte y posterior renacimiento de la manera más plausible que podría haber sido concebida».
Dejando a un lado las tácticas de desvío, también se dice que los especialistas en infiltración de Conti han forjado alianzas con otros grupos de ransomware conocidos como BlackCat , AvosLocker , Hive y HelloKitty (también conocido como FiveHands).
Además, la firma de seguridad cibernética dijo que había visto una comunicación interna que aludía al hecho de que las agencias policiales rusas habían estado presionando a Conti para que detuviera sus actividades a raíz del mayor escrutinio internacional y la naturaleza de alto perfil de los ataques realizados por el criminal. sindicato.
La afiliación de Conti con Rusia también ha tenido otras consecuencias no deseadas, siendo la principal su incapacidad para obtener pagos de rescate de las víctimas a la luz de las severas sanciones económicas impuestas por Occidente al país.
Dicho esto, aunque la marca puede dejar de existir, el grupo ha adoptado lo que se denomina una jerarquía descentralizada que involucra múltiples subgrupos con diferentes motivaciones y modelos comerciales que van desde el robo de datos ( Karakurt , BlackBasta y BlackByte ) hasta trabajar como afiliados independientes.
Esta no es la primera vez que Gold Ulrick ha renovado su funcionamiento interno. TrickBot , cuya división Overdose de élite generó la creación de Ryuk y su sucesor Conti, desde entonces ha sido cerrado y absorbido por el colectivo, convirtiendo a TrickBot en una subsidiaria de Conti. También se ha hecho cargo de BazarLoader y Emotet .
«La diversificación de la cartera criminal de Conti junto con su sorprendentemente rápida disolución pone en duda si su modelo de negocios se repetirá entre otros grupos», señaló AdvIntel la semana pasada.
«Ransomware Inc. se parece menos a las pandillas a las que suelen llamar y se parece mucho más a los cárteles a medida que pasa el tiempo», dijo Sam Curry, director de seguridad de Cybereason, en un comunicado compartido con The Hacker News.
«Esto significa acuerdos de socios, funciones especializadas, grupos de marketing e investigación y desarrollo de tipo comercial, etc. Y debido a que Conti está comenzando a reflejar el tipo de actividades que vemos entre las empresas legítimas, no sorprende que estén cambiando».
