La notoria banda de ransomware Conti cierra, pero no para siempre

El grupo de ransomware conocido como Conti se ha cerrado oficialmente, con todas sus infraestructuras ahora fuera de línea.

Si bien esto puede parecer una buena noticia, solo lo es en la superficie: Conti no ha terminado, simplemente se ha dividido en operaciones más pequeñas.

Gráfico dividido de Conti.
Intel avanzado

Conti se lanzó en el verano de 2020 como sucesor del ransomware Ryuk. Se basó en asociaciones con otras infecciones de malware para distribuir. El malware como TrickBot y BazarLoader fue el punto de entrada inicial para Conti, que luego procedió con el ataque. Conti demostró ser tan exitoso que finalmente se convirtió en un sindicato de delitos informáticos que se hizo cargo de TrickBot, BazarLoader y Emotet.

Durante los últimos dos años, Conti llevó a cabo una serie de ataques de alto perfil, teniendo como objetivo la ciudad de Tulsa, Advantech y las escuelas públicas del condado de Broward. Conti también retuvo los sistemas de TI del Ejecutivo del Servicio de Salud y el Departamento de Salud de Irlanda durante semanas y solo los soltó cuando enfrentaban serios problemas por parte de las fuerzas del orden público de todo el mundo. Sin embargo, este ataque le dio a Conti mucha atención de los medios globales.

Más recientemente, apuntó al país de Costa Rica, pero según Yelisey Bogslavskiy de Advanced Intel , el ataque fue solo un encubrimiento del hecho de que Conti estaba disolviendo toda la operación. Boguslavskiy le dijo a Bleeping Computer que el ataque a Costa Rica se hizo público para que los miembros de Conti tuvieran tiempo de migrar a diferentes operaciones de ransomware.

“La agenda para llevar a cabo el ataque a Costa Rica con fines de publicidad en lugar de rescate fue declarada internamente por la dirección de Conti. Las comunicaciones internas entre los miembros del grupo sugirieron que el pago del rescate solicitado estaba muy por debajo de $ 1 millón (a pesar de las afirmaciones no verificadas de que el rescate era de $ 10 millones, seguidas de las propias afirmaciones de Conti de que la suma era de $ 20 millones), dice un informe aún por publicar. informe de Advanced Intel, compartido con anticipación por Bleeping Computer.

Logotipo del grupo de ransomware Conti.
BleepingEquipo

El final definitivo de Conti fue provocado por la aprobación abierta del grupo de Rusia y su invasión de Ucrania. En los canales oficiales, Conti llegó a decir que unirá todos sus recursos para defender a Rusia de posibles ataques cibernéticos. Después de eso, un investigador de seguridad ucraniano filtró más de 170.000 mensajes de chat internos entre los miembros del grupo Conti y, en última instancia, también filtró el código fuente del cifrador de ransomware de la banda. Este cifrador se usó más tarde para atacar entidades rusas.

Tal como están las cosas ahora, toda la infraestructura de Conti se ha desconectado y los líderes del grupo dijeron que la marca se acabó. Sin embargo, esto no significa que los miembros de Conti ya no perseguirán el delito cibernético. Según Boguslavskiy, el liderazgo de Conti decidió dividirse y formar equipo con bandas de ransomware más pequeñas, como AvosLocker, HelloKitty, Hive, BlackCat y BlackByte.

Los miembros de la anterior pandilla de ransomware Conti, incluidos analistas de inteligencia, pentesters, desarrolladores y negociadores, se distribuyen en varias operaciones de ciberdelincuencia, pero siguen siendo parte del sindicato Conti y están bajo el mismo liderazgo. Esto les ayuda a evitar la aplicación de la ley sin dejar de llevar a cabo los mismos ataques cibernéticos que hicieron bajo la marca Conti.

Conti fue considerado uno de los tipos de ransomware más costosos y peligrosos jamás creados, con más de $ 150 millones en pagos de rescate recaudados durante su período de dos años. El gobierno de EE. UU. ofrece una recompensa sustancial de hasta $15 millones por ayudar a identificar a las personas involucradas con Conti, especialmente aquellas en roles de liderazgo.