Los secretos de una banda de ransomware revelados después de que anunciara su apoyo a Rusia

El 25 de febrero, un notorio grupo de ransomware conocido como Conti expresó su apoyo a Rusia cuando el país invadió Ucrania. Resultó ser una mala idea: días después, se filtró una gran cantidad de secretos de la pandilla.

Los datos contienen detalles sobre campañas de piratería informática específicas, billeteras de Bitcoin utilizadas por la pandilla y cavilaciones sobre el futuro de las criptomonedas como herramienta para el lavado de dinero. En un mensaje de chat, un miembro de Conti expresó su furia porque alguien asociado con su grupo había apuntado a un sitio web dentro de Rusia («Tales d—-heads», esta persona llamó a sus colegas). Otro detalló un intento de hackear a un colaborador de un medio de periodismo de investigación que investigaba el presunto envenenamiento de un destacado crítico del Kremlin («Bro, no te olvides de Navalny»).

Los archivos también divulgaron el equivalente del crimen organizado a los secretos de propiedad: detalles sobre el uso de herramientas de malware específicas por parte de la pandilla y conocimientos sobre sus técnicas de negociación. En conjunto, dijeron los expertos a Bloomberg News, la filtración de Conti puede haber hecho más para exponer a sus miembros y socavar sus métodos que las investigaciones realizadas por las fuerzas del orden y las empresas de seguridad. Los archivos exponen la estructura organizativa del grupo y pistas sobre las técnicas utilizadas para adelantarse a la policía, lo que representa una valiosa inteligencia.

Si bien las conversaciones y negociaciones con piratas informáticos se han filtrado antes, pocas han igualado la escala y el detalle de Conti trove. Ofrece una mirada detrás de escena sin precedentes de un grupo que usó archivos adjuntos de correo electrónico falsos, contraseñas robadas y llamadas telefónicas para estafar más de $ 200 millones de sus víctimas el año pasado, dijo a Bloomberg News la firma de seguimiento de criptomonedas Chainalysis Inc.

Múltiples expertos en seguridad confirmaron que el tesoro era legítimo. Ofrecieron diferentes teorías sobre cómo se hicieron públicos los archivos de Conti, y algunos sugirieron una filtración por parte de un miembro ucraniano de la pandilla o tal vez un investigador con acceso interno. Conti es tanto un tipo de ransomware como el nombre del grupo detrás de él. Se observó por primera vez en 2020 y utiliza el modelo de «ransomware como servicio» en el que nuevos grupos de piratas informáticos alquilan software malicioso a «afiliados» a cambio de una parte de las ganancias. Es conocido por su crueldad, apuntando a hospitales durante la epidemia de COVID-19 y paralizando el sistema de salud de Irlanda el año pasado.

El grupo de piratería usó compañías de fachada para contactar a los representantes de ventas de los proveedores de seguridad legítimos Sophos y Carbon Black para obtener muestras de las ofertas de software antivirus, según muestran los documentos. Al probar el malware contra herramientas de seguridad ampliamente utilizadas, Conti podría encontrar puntos débiles en la tecnología para eludir productos cibernéticos populares, dijo Dave Kennedy, cofundador de la firma de seguridad TrustedSec, quien ha estado rastreando a Conti durante años.

«Hemos pasado incontables horas investigando este grupo y de dónde son», dijo. «Esta fuga proporciona una gran cantidad de datos sobre cómo ejecutan las operaciones, por lo que podemos mejorar nuestras propias defensas y descubrir cómo operarían. Es bastante impresionante». Los objetivos eran con frecuencia pequeñas y medianas empresas u organizaciones en el mundo en desarrollo, dijo. En respuesta a una solicitud de comentarios, un representante de Sophos dijo en un correo electrónico que la empresa había marcado la cuenta de Conti como sospechosa cuando los piratas informáticos intentaron comprar software de Sophos y el grupo abandonó la transacción. Carbon Black no respondió a una solicitud de comentarios.

Los registros también muestran cómo Conti y sus afiliados se infiltraban en varias empresas cada semana, intercambiando ideas sobre las mejores artimañas para que las víctimas pagaran. En una conversación filtrada, los piratas informáticos debatieron si enviar a una víctima de ransomware una muestra de los datos robados para demostrar que violaron la empresa. En otras ocasiones, discutieron la probabilidad de que una víctima pudiera descargar datos cifrados de la nube, eliminando el incentivo para pagar un rescate.

Un hacker, llamado Profesor, les dijo a sus asociados que no quería filtrar los datos de una pequeña empresa de California que se especializa en contratos laborales agrícolas porque no habría sido realista recopilar y publicar la información de la empresa debido a problemas con la red de la víctima. La empresa finalmente no pagó el rescate, sino que optó por restaurar sus datos a partir de una copia de seguridad reciente. “Simplemente no queríamos pagarles a los delincuentes”, dijo Luis Romero, gerente de oficina de Hall Ag Enterprises, que cerró por un día en octubre de 2020 después de que Conti exigiera $700,000, una tarifa que dijo que la compañía no podía pagar.

En dos días, Conti siguió adelante y fijó su mirada en Angelica Corp., una empresa de productos para el cuidado de la salud con sede en Illinois. Los piratas informáticos recopilaron información de contratos, proyecciones de la empresa y datos personales y los usaron para tratar de intimidar a la víctima para que pagara, según los documentos. Angélica no respondió a una solicitud de comentarios.

Otras firmas estadounidenses como Shook Construction, el corredor de logística Western Overseas Corp. y un fabricante llamado Varroc Lighting Systems Inc. estaban en la mira, según los registros de chat. Las tres compañías no respondieron a las solicitudes de comentarios.

Bloomberg News encontró varias docenas de billeteras de criptomonedas entre los registros de chat, que sumaban más de $12 millones hasta el miércoles, una cifra que ha variado con el valor de Bitcoin. Los pandilleros usaron las billeteras incluidas en los registros de chat para reinvertir en su infraestructura técnica, pagar a los clientes afiliados y enviar Bitcoin a otros operadores de malware, como los desarrolladores de la herramienta de delitos financieros TrickBot, dijo Jackie Koven, líder de inteligencia de amenazas cibernéticas en Chainalysis.

«Podemos ver a partir de esta filtración que Conti está compuesto por varias pandillas y grupos, pero también operan de manera algo autónoma», dijo.

También tenían objetivos políticos, supuestamente persiguiendo a un colaborador del grupo de periodismo de investigación Bellingcat por investigar el presunto envenenamiento del crítico del Kremlin Alexey Navalny.

El director ejecutivo de Bellingcat, Christo Grozev, confirmó en Twitter que un colaborador había sido atacado en ese momento.

Al igual que otras pandillas de ransomware, Conti parece evitar los objetivos rusos. Los chats indican que un gerente intermedio llamado Troy detuvo uno de esos intentos de ataque. «Este no. Quitándolo», escribió Troy. «Deberían ser golpeados por tal cosa. ¿Qué pasa si no me di cuenta de eso? Entonces nos habrían jodido».

Los investigadores de seguridad cibernética dijeron que la retirada era una prueba más de la aprobación tácita que Rusia otorga a ciertos ciberdelincuentes, siempre que no ataquen entidades dentro de sus fronteras.

Los presuntos vínculos entre la inteligencia rusa y los ciberdelincuentes se han hecho públicos anteriormente. El Departamento del Tesoro de EE. UU. acusó en 2019 al presunto líder del grupo de piratería Evil Corp., Maksim Yakubets, de brindar «asistencia directa» a los esfuerzos cibernéticos patrocinados por el Kremlin. Los fiscales también han acusado a varios presuntos piratas informáticos rusos de cooperar con el Servicio Federal de Seguridad, o FSB, desde 2012.

Un portavoz de la embajada rusa en Washington no respondió a una consulta en busca de comentarios. Rusia ha negado previamente haber participado en ciberataques maliciosos.

«Con este grupo en particular, parece que tenían una relación con un grupo del gobierno ruso», dijo John Fokker, jefe de investigaciones cibernéticas de la firma de seguridad Trellix y ex miembro de una unidad de la policía holandesa que investiga a los piratas informáticos avanzados. «Cuando ves conversaciones como, ‘No deberíamos golpear a esta organización porque nos van a joder’, ese no es el tipo de cosas que ves a menudo en chats como este».

---

---

©2022 Bloomberg LP Visite bloomberg.com. Distribuido por Tribune Content Agency, LLC.