Los analistas de amenazas han presentado nueva inteligencia que sugiere que el aparente cierre del notorio sindicato de delitos cibernéticos de ransomware Conti, cuyas noticias comenzaron a surgir el viernes 20 de mayo, fue autoinfligido y que la banda desconectó ella misma a raíz de una serie de pasos en falso que lo hicieron demasiado tóxico para continuar.
Yelisey Bogusalvskiy y Vitali Kremez de AdvIntel, quienes han estado siguiendo de cerca a Conti a lo largo de su agitada vida, fueron de los primeros en observar el cierre el 19 de mayo, cuando el panel de administración del infame sitio web Conti News del colectivo y su sitio de servicio de negociación se cerraron. hacia abajo, seguido rápidamente por el resto de su infraestructura relacionada con las negociaciones, el alojamiento de datos, etc.
En un mensaje final publicado en el sitio Conti News, la pandilla amenazó al gobierno de Costa Rica, que declaró una emergencia nacional debido a un ataque continuo de Conti, y declaró a los EE. UU. un “cáncer en el cuerpo de la tierra”.
En un informe detallado publicado el fin de semana, Bogusalvskiy y Kremez dijeron que este mensaje era “sorprendentemente diferente” de las declaraciones anteriores de la pandilla, que generalmente están escritas en un inglés bien editado. Sugirieron que esto significa que los líderes ya no toman en serio el lado público de las operaciones del grupo.
“Este cierre destaca un hecho simple que ha sido evidente para el liderazgo de Conti desde principios de la primavera de 2022: el grupo ya no puede apoyar y obtener extorsión lo suficiente. La clave y el único propósito válido del blog es filtrar nuevos conjuntos de datos, y esta operación ya no existe”, escribieron.
“Esta no fue una decisión espontánea, sino que fue un movimiento calculado, cuyos signos eran evidentes desde finales de abril. Hace dos semanas, el 6 de mayo, AdvIntel explicó que la marca Conti, y no la organización en sí, estaba en proceso de cierre definitivo. Al 19 de mayo de 2022, nuestra fuente exclusiva de inteligencia confirma que hoy es la fecha oficial de muerte de Conti”, agregaron.
La invasión de Ucrania fue el principio del fin.
En su informe, Bogusalvskiy y Kremez revelaron cómo la declaración de apoyo del colectivo Conti a la invasión rusa de Ucrania pudo haber sido el punto en el que su operación comenzó a volverse insostenible.
La declaración, hecha poco después de la invasión inicial de Ucrania el 24 de febrero, provocó una filtración dañina de los datos internos de la pandilla por parte de afiliados descontentos, lo que proporcionó a los analistas de amenazas y a las fuerzas del orden un tesoro de información sobre Conti.
Críticamente, agregaron, su alineación con la agresión rusa también cortó su principal fuente de ingresos de la noche a la mañana: desde febrero, prácticamente no se han realizado pagos a la pandilla.
Bogusalvskiy y Kremez sugirieron que esto se debió a que, de repente, cualquier pago de rescate realizado a Conti podría haberse realizado potencialmente a una persona sancionada, en violación de las regulaciones de la Oficina de Control de Activos Extranjeros (Ofac) de EE. UU. Por lo tanto, aquellos que antes podrían haberse inclinado a pagar un rescate, de repente se sintieron más inclinados a arriesgarse a no pagar y perder sus datos que a causarse un dolor de cabeza de cumplimiento al tratar con una entidad rusa.
A la luz de esto, dijeron, no sorprendió que el líder de Conti, que se hace llamar “reshaev”, tomara la decisión de retirar la marca.
Sin embargo, el proceso de retirar uno de los ransomwares más icónicos es complejo y algo tenso. No es, argumentaron Bogusalvskiy y Kremez, realmente posible que un grupo de tan alto perfil suspenda sus propias operaciones y resurja poco después sin manchar su reputación futura en la clandestinidad ciberdelincuente. Otros, como REvil y DarkSide, lo han intentado y han fallado.
La operación de cierre parece haber sido cuidadosamente orquestada, con el colectivo creando subgrupos utilizando alter egos y malware existentes de Conti, o creando otros nuevos, lo que aseguró que los afiliados de la pandilla pudieran resurgir antes del cierre oficial de Conti.
Hombre muerto caminando
Estos botes salvavidas se lanzaron, el liderazgo de Conti luego pareció organizar un engaño elaborado, esencialmente dando al colectivo la apariencia de estar vivo y bien y recuperándose de las fugas.
Esta actividad parece haber incluido la publicación de documentos robados previamente y, en general, ser ruidoso y desagradable en todos los lugares correctos. El golpe maestro, sin embargo, parece haber sido el ataque a los sistemas del gobierno de Costa Rica, que comenzó en abril. Ahora parece que este ataque puede haber sido un último hurra para Conti, saliendo en un estallido de publicidad convencional al secuestrar y extorsionar a su objetivo más grande hasta el momento: un país entero.
Citando las propias operaciones adversarias de visibilidad e inteligencia de AdvIntel, Bogusalvskiy y Kremez ahora creen que el objetivo de Conti con el ataque de Costa Rica era obtener la mayor publicidad posible, y que deliberadamente establecieron una demanda de rescate relativamente baja sabiendo que no esperaban para recibir el pago
“En nuestra investigación previa y posterior al ataque, hemos encontrado que la agenda para realizar el ataque en Costa Rica con fines publicitarios en lugar de rescate fue declarada internamente por el liderazgo de Conti”, dijeron.
“El ataque a Costa Rica puso a Conti en el centro de atención y les ayudó a mantener la ilusión de vida por un poco más de tiempo, mientras se llevaba a cabo la verdadera reestructuración”.
¿Quién es el siguiente?
Los investigadores continuaron explorando lo que les espera a los miembros de Conti, sugiriendo que el grupo ahora adoptará una estructura más descentralizada y en red, una coalición de diferentes operaciones unidas por la lealtad interna a la marca y las conexiones personales.
Algunos de estos grupos ya están operativos y se cree que incluyen BlackBasta, BlackByte y Karakurt, que se centran en el robo y la extorsión de datos en lugar del cifrado de datos y pueden tener un alto grado de autonomía; AlphV/BlackCat, AvosLocker, HelloKitty/FiveHands y HIVE, que se cree que son afiliados leales a Conti que trabajan con otros grupos; algunos afiliados independientes que siguen siendo leales a Conti; y algunos grupos en los que Conti se infiltró y se hizo cargo de manera efectiva: AdvIntel actualmente no nombra ninguna operación dentro de los dos últimos grupos.
“Este modelo es más flexible y adaptable que la jerarquía Conti anterior, pero es más seguro y resistente que RaaS. [ransomware-as-a-service]”, dijeron Bogusalvskiy y Kremez.
“Dentro de la breve pero tumultuosa cronología de la historia del ransomware, el 19 de mayo de 2022, el día en que murió Conti, dejará una marca que separa el panorama de amenazas de su pasado y ensombrece su futuro. Sin embargo, en el gran esquema de existencia del grupo, este día no es algo nuevo”, escribieron.
“Los actores que se formaron y trabajaron bajo el nombre de Conti no han dejado ni dejarán de avanzar en el panorama de amenazas; su impacto simplemente dejará una forma diferente”.