La fuga de ransomware Conti muestra que el grupo opera como una empresa de tecnología normal

Un grupo ruso identificado por el FBI como uno de los grupos de ransomware más prolíficos de 2021 ahora puede comprender cómo se siente ser víctima de ciberespionaje.

Una serie de filtraciones de documentos revelan detalles sobre el tamaño, el liderazgo y las operaciones comerciales del grupo conocido como Conti, así como lo que se percibe como su posesión más preciada: el código fuente de su ransomware.

Shmuel Gihon, investigador de seguridad de la compañía de inteligencia de amenazas Cyberint, dijo que el grupo surgió en 2020 y se convirtió en una de las organizaciones de ransomware más grandes del mundo. Él estima que el grupo tiene alrededor de 350 miembros que colectivamente han ganado unos $ 2.7 mil millones en criptomonedas en solo dos años.

En su «Informe sobre delitos en Internet 2021», el FBI advirtió que el ransomware de Conti se encontraba entre «las tres variantes principales» que se dirigieron a la infraestructura crítica en los Estados Unidos el año pasado. Conti «victimizó con mayor frecuencia a los sectores de fabricación crítica, instalaciones comerciales y alimentos y agricultura», dijo la oficina.

«Eran el grupo más exitoso hasta este momento», dijo Gihon.

En una publicación en línea que analiza las filtraciones, Cyberint dijo que la filtración parece ser un acto de venganza, provocado por una publicación modificada por Conti publicada a raíz de la invasión rusa de Ucrania. El grupo podría haber permanecido en silencio, pero «como sospechábamos, Conti eligió ponerse del lado de Rusia, y aquí es donde todo se fue al sur», dijo Cyberint.

Las filtraciones comenzaron el 28 de febrero, cuatro días después de la invasión rusa de Ucrania.

Poco después de la publicación, alguien abrió una cuenta de Twitter llamada «ContiLeaks» y comenzó a filtrar miles de mensajes internos del grupo junto con declaraciones a favor de Ucrania.

La cuenta de Twitter ha deshabilitado los mensajes directos, por lo que CNBC no pudo contactar a su propietario.

El propietario de la cuenta afirma ser un «investigador de seguridad», dijo Lotem Finkelstein, jefe de inteligencia de amenazas de Check Point Software Technologies.

El filtrador parece haber retrocedido en Twitter y escribió el 30 de marzo: «Mis últimas palabras… ¡Nos vemos después de nuestra victoria! ¡Gloria a Ucrania!».

El impacto de la filtración en la comunidad de seguridad cibernética fue enorme, dijo Gihon, quien agregó que la mayoría de sus colegas globales pasaron semanas estudiando detenidamente los documentos.

La empresa estadounidense de ciberseguridad Trellix calificó la filtración como «los Papeles de Panamá del ransomware» y como «una de las mayores ‘investigaciones cibernéticas de fuentes colectivas’ jamás vistas».

Conti es completamente clandestino y no comenta a los medios de comunicación de la forma en que, por ejemplo, Anonymous a veces lo hace. Pero Cyberint, Check Point y otros especialistas cibernéticos que analizaron los mensajes dijeron que muestran que Conti opera y está organizada como una empresa de tecnología normal.

Después de traducir muchos de los mensajes, que estaban escritos en ruso, Finkelstein dijo que el brazo de inteligencia de su compañía, Check Point Research, determinó que Conti tiene funciones claras de administración, finanzas y recursos humanos, junto con una jerarquía organizacional clásica con líderes de equipo que reportan a la alta gerencia. .

También hay evidencia de unidades de investigación y desarrollo («RND» a continuación) y desarrollo de negocios, según los hallazgos de Cyberint.

Los mensajes mostraron que Conti tiene oficinas físicas en Rusia, dijo Finkelstein, y agregó que el grupo puede tener vínculos con el gobierno ruso.

«Nuestra… suposición es que una organización tan grande, con oficinas físicas y enormes ingresos no podría actuar en Rusia sin la aprobación total, o incluso alguna cooperación, con los servicios de inteligencia rusos», dijo.

La embajada rusa en Londres no respondió a las solicitudes de comentarios de CNBC. Moscú ha negado previamente que participe en ciberataques.

Check Point Research también encontró que Conti tiene:

• Trabajadores asalariados, a algunos de los cuales se les paga en bitcoins, además de evaluaciones de desempeño y oportunidades de capacitación.
• Negociadores que reciben comisiones que van del 0,5 % al 1 % de los rescates pagados
• Un programa de recomendación de empleados, con bonificaciones otorgadas a los empleados que han contratado a otros que trabajaron durante al menos un mes, y
• Un «empleado del mes» que gana un bono equivalente a la mitad de su salario

A diferencia de las empresas regulares, Conti multa a las empresas de bajo rendimiento, según Check Point Research.

Las identidades de los trabajadores también están enmascaradas por identificadores, como Stern (el «gran jefe»), Buza (el «gerente técnico») y Target («socio de Stern y jefe efectivo de operaciones de la oficina»), dijo Check Point Research.

«Al comunicarse con los empleados, la alta gerencia a menudo argumentaba que trabajar para Conti era el negocio de su vida: salarios altos, tareas interesantes, crecimiento profesional (!)», según Check Point Research.

Sin embargo, algunos de los mensajes pintan una imagen diferente, con amenazas de despido por no responder a los mensajes lo suficientemente rápido, dentro de las tres horas, y horas de trabajo durante los fines de semana y días festivos, dijo Check Point Research.

Conti contrata tanto de fuentes legítimas, como los servicios rusos de cazatalentos, como de la clandestinidad criminal, dijo Finkelstein.

La contratación fue importante porque «tal vez como era de esperar, la tasa de rotación, deserción y agotamiento fue bastante alta para los empleados de bajo nivel de Conti», escribió Brian Krebs, ex reportero del Washington Post, en su sitio web de seguridad cibernética KrebsOnSecurity.

Algunos empleados ni siquiera eran especialistas en informática, según Check Point Research. Conti contrató personas para trabajar en centros de llamadas, dijo. Según el FBI, el «fraude de soporte técnico» va en aumento, en el que los estafadores se hacen pasar por empresas conocidas, ofrecen solucionar problemas informáticos o cancelar los cargos de suscripción.

«Alarmantemente, tenemos evidencia de que no todos los empleados son plenamente conscientes de que forman parte de un grupo de ciberdelincuencia», dijo Finkelstein. «Estos empleados piensan que están trabajando para una empresa de publicidad, cuando en realidad están trabajando para un notorio grupo de ransomware».

Los mensajes muestran que los gerentes mintieron a los candidatos sobre la organización, y uno le dijo a un posible empleado: «Aquí todo es anónimo, la dirección principal de la empresa es software para pentesters», refiriéndose a los probadores de penetración, que son especialistas legítimos en seguridad cibernética que simulan ataques cibernéticos. contra las redes informáticas de sus propias empresas.

En una serie de mensajes, Stern explicó que el grupo mantuvo a los codificadores en la oscuridad al hacer que trabajaran en un módulo, o parte del software, en lugar de todo el programa, dijo Check Point Research.

Si los empleados eventualmente resuelven las cosas, dijo Stern, se les ofrece un aumento de sueldo para quedarse, según los mensajes traducidos.

Incluso antes de la fuga, Conti mostraba signos de angustia, según Check Point Research.

Stern guardó silencio a mediados de enero y los pagos de salarios se detuvieron, según los mensajes.

Días antes de la filtración, un mensaje interno decía: “Ha habido muchas filtraciones, ha habido… detenciones… no hay jefe, no hay claridad… tampoco hay dinero… Tengo que pedirles a todos que tomen 2 -Vacaciones de 3 meses.»

Aunque el grupo se ha visto obstaculizado, es probable que vuelva a crecer, según Check Point Research. A diferencia de su antiguo rival REvil, cuyos miembros Rusia dijo que arrestó en enero, Conti todavía está operando «parcialmente», dijo la compañía.

El grupo ha sobrevivido a otros contratiempos, incluida la desactivación temporal de Trickbot, un programa de malware utilizado por Conti, y los arrestos de varios presuntos asociados de Trickbot en 2021.

A pesar de los esfuerzos continuos para combatir los grupos de ransomware, el FBI espera que aumenten los ataques a la infraestructura crítica en 2022.