Las notorias pandillas de ransomware Conti y REvil/Sodinokibi parecen haber descartado el impacto de las luchas internas y las acciones dirigidas por el gobierno contra sus nefastas actividades, a juzgar por la información que ahora surge de la comunidad de seguridad.
Como ya sabrán los seguidores habituales de la telenovela de pandillas de ransomware, Conti, que es conocido por robar datos y luego publicarlos, estuvo plagado de una serie de filtraciones a fines de febrero de 2022 después de declarar su apoyo a la guerra de Rusia contra Ucrania.
Esta acción probablemente enajenó a varios miembros del grupo en Ucrania y condujo a un aluvión de nueva información para que los analistas la digirieran.
Mientras tanto, REvil parecía haber sido eliminado por los esfuerzos coordinados de aplicación de la ley durante una breve ventana cuando los EE. UU. y Rusia se alinearon en las medidas contra el ransomware luego de las reuniones entre Joe Biden y Vladimir Putin en 2021.
Pero como veremos, Conti permanece muy activo y REvil parece estar de vuelta en el negocio.
Entonces, ¿qué hay de nuevo y qué deben hacer los profesionales de la seguridad al respecto?
Según Secureworks, que registra a Conti como Gold Ulrick en su matriz de actores de amenazas, la pandilla ha estado ocupada, se ha adaptado rápidamente a la divulgación pública de sus comunicaciones y detalles operativos, y sus actividades están actualmente cerca de los picos observados en 2021.
fugas de datos
Los analistas de la Unidad de Contraamenazas (CTU) de Secureworks anunciaron recientemente que el sitio de fugas de Conti enumeraba un promedio de 43 víctimas cada mes en 2021, alcanzando un máximo de 95 en noviembre antes de caer durante la temporada navideña. Luego volvió al 27 de febrero de 2022 cuando el identificador de Twitter @ContiLeaks comenzó a filtrar datos. A pesar de esto, el número de víctimas publicadas aumentó a más de 70 en marzo.
«Aunque estos tipos de filtraciones pueden haber llevado a algunos grupos de amenazas a cambiar sus métodos o herramientas de comunicación, Gold Ulrick parece haber continuado e incluso aumentado el ritmo de sus operaciones sin interrupción», dijo el equipo de CTU en una publicación de blog recientemente actualizada.
El miembro de Gold Ulrick ‘Jordan Conti’ confirmó esta continuación y el impacto mínimo de las revelaciones en una publicación del 31 de marzo de 2022 en el foro clandestino RAMP.
«Los investigadores de CTU han observado previamente a esta persona promocionando a Conti, brindando actualizaciones sobre los esfuerzos de eliminación y reclutando socios», dijeron.
La publicación afirma que el sitio solo enumera a las víctimas que no pagaron (práctica estándar para un sitio de doble explotación de nombre y vergüenza) e implica que Conti tiene una tasa de éxito de pago del 50%, por lo que podría haber el doble de víctimas. , aunque el equipo de la CTU aún no ha verificado estas afirmaciones.
El personaje de «Jordan Conti» también señaló que la pandilla planea desarrollar su ransomware, métodos de penetración y enfoques para trabajar con datos. Esto ha sido confirmado por los investigadores Marc Elias, Jambul Tologonov y Alexandre Mundo de Trellix (née McAfee Enterprise), quienes también publicaron recientemente nueva información sobre el ataque de Conti a los hipervisores VMware ESXi con una variante de Linux de su ransomware. El equipo de Trellix vio que Conti para Linux se cargó de forma salvaje el 4 de abril y afirma que este es el primer ejemplo conocido públicamente.
La existencia de Conti para Linux no es nada nuevo: la primera mención de un sabor de Linux se remonta a mayo de 2021, pero las conversaciones filtradas entre pandilleros sugieren que tenía múltiples errores y pasó por un largo proceso de desarrollo, incluidas pruebas en vivo con víctimas reales, muchos de los cuales aparentemente se quejaron de que el descifrador no funcionaba correctamente cuando pagaron el rescate.
En un caso, la pandilla exigió un rescate de $ 20 millones, pero tuvo que conformarse con $ 1 millón porque algo salió mal: esta víctima en particular también rechazó el descifrador a pesar de pagar.
Trellix dijo que sus agencias de inteligencia reiteran que a pesar de las filtraciones y el daño a la reputación sufrido, la pandilla no va a ninguna parte y ha encontrado el tiempo para seguir trabajando en su «producto».
«El análisis de las filtraciones de Conti ha revelado que los actores de amenazas se adaptan y mejoran continuamente su variante Linux del ransomware, y es probable que veamos más de sus acciones contra organizaciones occidentales en el futuro», dijeron.
«Dado que la muestra de ransomware Conti que analizamos se subió recientemente a VirusTotal, asumimos que el grupo de ransomware todavía está ejecutando sus campañas y operaciones para encriptar datos de empresas de todo el mundo y hacerlo suyo para obtener ganancias personales a cambio de un pago de rescate. ”
REvil: No todo lo que puede parecer
Mientras tanto, REvil, o quizás más específicamente alguien que dice ser REvil, reapareció el 20 de abril y fue detectado rápidamente por la comunidad.
Los investigadores informaron que los servidores de REvil en la red Tor han sido redirigidos a lo que parece ser una nueva operación, de ahí la ambigüedad actual en cuanto a lo que realmente está sucediendo: podría haber vínculos con miembros de la pandilla REvil que aún están prófugos, o incluso a otros indican bandas de ransomware cuya presencia se ha inferido como pistas.
Correspondiente computadora pitido, El sitio de filtraciones revivido Happy Blog enumeró 26 víctimas (en el momento de escribir este artículo), aunque algunas de ellas parecían ser víctimas mayores.
Todavía hay muchas preguntas por hacer sobre el supuesto resurgimiento de REvil, pero una teoría que ha ganado fuerza es que después de cerrar los canales de comunicación entre Estados Unidos y Rusia sobre cuestiones de seguridad hace dos semanas, Moscú puede estar dando permiso tácito a REvil para reanudar tiene un enfoque organizaciones en Occidente.
Chris Morgan, analista senior de amenazas cibernéticas de Digital Shadows, dijo: “El posible regreso de REvil coincide con el cierre de canales entre Estados Unidos y Rusia para discutir temas de ciberseguridad. Esta decisión probablemente se tomó porque las relaciones entre Estados Unidos y Rusia se estaban derrumbando como resultado de la guerra en curso entre Rusia y Ucrania.
“Como resultado, es realistamente posible que las autoridades rusas hayan abandonado sus investigaciones sobre el grupo o hayan indicado que REvil puede reanudar sus operaciones.
Morgan agregó: «Actualmente no está claro si el reinicio de la infraestructura asociada con REvil representa un retorno genuino a la actividad para el grupo, una estafa o una posible operación trampa por parte de las fuerzas del orden».
Recomendación de respuesta
Aunque las actividades recientes de Conti y supuestamente REvil han llamado la atención de la comunidad de seguridad, la resiliencia de las bandas de delincuentes cibernéticos después de tomar medidas contra ellas es un hecho, como se ha demostrado una y otra vez. Hasta cierto punto, esto era de esperar.
Por supuesto, el único factor que ha cambiado en las últimas semanas es la guerra ilegal de Rusia contra Ucrania, que ha llevado al aislamiento y expulsión de Rusia de muchos sistemas internacionales.
Esto es importante porque, aunque los operadores de ransomware han sido históricamente delincuentes motivados financieramente en lugar de grupos de amenazas persistentes y avanzados respaldados por el estado, muchas, si no la mayoría, de las pandillas de ransomware operan fuera de Rusia y durante mucho tiempo se sospecha que lo hacen con el consentimiento de, o al menos recurriendo a ellos. haciendo la vista gorda al gobierno ruso.
Si bien hay poca evidencia de que Rusia esté orquestando una gran guerra cibernética contra Occidente (el NCSC continúa recomendando a las organizaciones que tomen las precauciones adecuadas), ciertamente es posible que Rusia pueda encargar a más operadores de ransomware como un elemento de la guerra cibernética o tal ransomware -Operadores podría tomar medidas para apoyar a Moscú por su propia iniciativa.
En términos de respuesta organizacional inmediata, hay poco que hacer más que reforzar las defensas existentes contra los ataques de ransomware o implementarlas si aún no lo ha hecho.
Más información sobre las medidas para protegerse de los ataques de ransomware está disponible en el Centro Nacional de Seguridad Cibernética del Reino Unido y, como siempre, el consejo número uno es centrarse primero en las copias de seguridad debidamente protegidas de los datos importantes y nunca pagar un rescate no es una garantía. sus datos afectados serán recuperados.