Los analistas de amenazas han presentado nueva información que sugiere que el aparente cierre del notorio sindicato de delitos cibernéticos de ransomware Conti, del cual el viernes 20 pasos en falso lo hicieron demasiado tóxico para continuar.
Yelisey Bogusalvskiy y Vitali Kremez de AdvIntel, quienes han seguido de cerca a Conti a lo largo de su agitada vida, fueron de los primeros en cerrar el cierre el 19 de abril, seguidos rápidamente por el resto de su infraestructura en términos de negociaciones, alojamiento de datos, etc.
En un mensaje reciente publicado en el sitio web de Conti News, la pandilla amenazó al gobierno de Costa Rica, que declaró una emergencia nacional debido a un ataque de Conti en curso, y declaró a los EE. UU. un «cáncer en la faz de la tierra».
En un informe detallado publicado el fin de semana, Bogusalvskiy y Kremez dijeron que este mensaje era «sorprendentemente diferente» de las declaraciones anteriores de la pandilla, que generalmente están escritas en un inglés bien editado. Sugirieron que esto significa que los líderes ya no toman en serio el lado público de las operaciones del grupo.
“Este cierre subraya una verdad simple que ha sido evidente para el liderazgo de Conti desde la primavera de 2022: el grupo ya no puede recibir el apoyo ni el chantaje adecuados. El propósito principal y único válido del blog es publicar nuevos conjuntos de datos, y esa operación ya terminó”, escribieron.
«No fue una decisión espontánea, sino un paso calculado que ha sido evidente desde finales de abril. Hace dos semanas, el 6 de mayo, AdvIntel declaró que la marca Conti y no la organización en sí estaba en proceso de cierre definitivo. Al 19 de mayo de 2022, nuestra fuente exclusiva confirma que hoy es la fecha oficial de muerte de Conti”, agregaron.
La invasión de Ucrania fue el principio del fin.
En su informe, Bogusalvskiy y Kremez revelaron cómo la declaración de apoyo del colectivo Conti a la invasión rusa de Ucrania pudo haber sido el punto en el que su funcionamiento comenzó a hacerse insostenible.
La declaración, emitida poco después de la primera invasión de Ucrania el 24 de febrero, condujo a una filtración maliciosa de los datos internos de la pandilla por parte de socios descontentos y proporcionó a los analistas de amenazas y a las fuerzas del orden un tesoro de información sobre Conti.
Críticamente, agregaron que su enfoque en la agresión rusa también cortó su principal fuente de ingresos de la noche a la mañana: prácticamente no se habían realizado pagos a la pandilla desde febrero.
Bogusalvskiy y Kremez teorizaron que esto se debió a que, de repente, cualquier pago de rescate a Conti podría haberse pagado a una persona sancionada, en violación de las regulaciones de la Oficina de Control de Activos Extranjeros (Ofac) de EE. UU. Como resultado, aquellos que anteriormente podrían haber estado dispuestos a pagar un rescate de repente se arriesgaron a no pagar y perder sus datos, en lugar de tratar con una empresa rusa con un dolor de cabeza por el cumplimiento.
Dado eso, no sorprende que el líder de Conti, que se hace llamar «reshaev», haya tomado la decisión de retirar la marca.
Sin embargo, el proceso de retirar uno de los ransomware más conocidos es complejo y algo tenso. Bogusalvskiy y Kremez argumentaron que no era realmente posible que un grupo de tan alto perfil cerrara sus propias actividades y resurgiera poco tiempo después sin empañar su futura reputación en el subsuelo cibercriminal. Otros como REvil y DarkSide lo han intentado y han fallado.
La operación de cierre parece haber sido cuidadosamente orquestada, con el colectivo creando o creando subgrupos usando alter-egos y malware existentes de Conti, asegurando que los afiliados de la pandilla pudieran resurgir antes del cierre oficial de Conti.
Hombre muerto caminando
Después de que se lanzaron estos botes salvavidas, el liderazgo de Conti pareció organizar un elaborado engaño que esencialmente le dio al colectivo la apariencia de estar vivo y bien y recuperándose de las fugas.
Esta actividad parece haber implicado la liberación de documentos previamente robados y un comportamiento general ruidoso y obsceno en todos los lugares correctos. El golpe maestro, sin embargo, parece haber sido el ataque a los sistemas gubernamentales costarricenses que comenzó en abril. Ahora parece que este ataque pudo haber sido un último hurra para Conti, que salió en un estallido de publicidad convencional al secuestrar y chantajear a su objetivo más grande hasta el momento: un país entero.
Citando las propias operaciones de inteligencia y visibilidad del adversario de AdvIntel, Bogusalvskiy y Kremez ahora creen que el objetivo de Conti en el ataque de Costa Rica era obtener la mayor publicidad posible y que pidieron deliberadamente un rescate relativamente bajo, sabiendo que no esperaban ser pagado.
“En nuestra investigación previa y posterior al ataque, encontramos que la agenda para llevar a cabo el ataque en Costa Rica con fines publicitarios en lugar de rescate fue explicada internamente por el liderazgo de Conti”, dijeron.
«El ataque a Costa Rica puso a Conti en el centro de atención y les ayudó a mantener la ilusión de vida un poco más mientras se llevaba a cabo la reestructuración».
¿Quién es el siguiente?
Los investigadores continuaron examinando lo que les espera a los miembros de Conti y sugirieron que el grupo ahora adoptará una estructura más conectada y descentralizada, en realidad una coalición de diversas operaciones unidas por la lealtad interna a la marca y las conexiones personales.
Algunos de estos grupos ya están operativos y se cree que incluyen BlackBasta, BlackByte y Karakurt, que se enfocan en el robo y la extorsión de datos en lugar del cifrado de datos y pueden tener un alto grado de autonomía; AlphV/BlackCat, AvosLocker, HelloKitty/FiveHands y HIVE, que se cree que son socios leales de Conti que trabajan con otros grupos; algunas subsidiarias independientes que siguen siendo leales a Conti; y algunos grupos en los que Conti se infiltró de manera efectiva y se hizo cargo; AdvIntel actualmente no nombra operaciones dentro de los dos últimos grupos.
“Este modelo es más flexible y adaptable que la jerarquía Conti anterior, pero más seguro y resistente que RaaS [ransomware-as-a-service]dijeron Bogusalvskiy y Kremez.
“Dentro de la breve pero tumultuosa historia del ransomware, el 19 de mayo de 2022, el día en que murió Conti, dejará una marca que separará el panorama de amenazas de su pasado y ensombrecerá su futuro. Sin embargo, en el gran esquema de la existencia del grupo, este día no es nada nuevo”, escribieron.
«Los actores que se formaron y trabajaron bajo el nombre de Conti no han dejado ni dejarán de evolucionar en el panorama de amenazas; su impacto simplemente dejará una forma diferente».