La ola de piratería del ransomware Conti viola más de 40 organizaciones en un mes

El sindicato de delitos cibernéticos Conti ejecuta una de las operaciones de ransomware más agresivas y se ha vuelto altamente organizado, hasta el punto de que los afiliados pudieron piratear más de 40 empresas en poco más de un mes.

Los investigadores de seguridad nombraron en código la campaña de piratería ARMattack y la describieron como una de las "más productivas" y "extremadamente efectivas" del grupo.

Campaña ARMattack ultrarrápida

En un informe compartido con BleepingComputer, los investigadores de la empresa de ciberseguridad Group-IB dicen que una de las "campañas más productivas" de Conti ocurrió el año pasado, entre el 17 de noviembre y el 20 de diciembre de 2021.

Descubrieron la juerga de piratería del grupo durante un mes durante las actividades de respuesta a incidentes y lo llamaron ARMatack, basado en un nombre de dominio que expuso la infraestructura de la pandilla.

Durante la campaña, los afiliados de Conti lograron comprometer a más de 40 organizaciones en varios sectores de actividad que operan en una amplia geografía pero con un enfoque en empresas con sede en los EE. UU.

ContiARMattack-geo

Un portavoz de Group-IB le dijo a BleepingComputer que ARMattack fue muy rápido y explicó que el informe de la compañía se refiere a organizaciones que tenían sus redes comprometidas. Se desconoce si alguna de las víctimas pagó el rescate exigido por el atacante.

Vale la pena señalar que, si bien el sitio de fugas de Conti publicó datos de hasta 46 víctimas en solo un mes (por ejemplo, abril de 2022), la fecha de compromiso sigue sin estar clara.

Según los datos de Group-IB, el ataque exitoso más corto de Conti duró solo tres días desde el momento del acceso inicial hasta el cifrado de los sistemas de la organización.

“Después de obtener acceso a la infraestructura de una empresa, los actores de amenazas extraen documentos específicos (la mayoría de las veces para determinar con qué organización están tratando) y buscan archivos que contienen contraseñas (tanto en texto sin formato como cifradas). Por último, después de adquirir todos los privilegios necesarios y obtener acceso a todos los dispositivos que les interesan, los piratas informáticos implementan ransomware en todos los dispositivos y lo ejecutan” - Group-IB

"Horas de oficina

Usando datos recopilados de fuentes públicas, como los  chats internos filtrados  de la pandilla, Group-IB ha estado analizando las "horas de trabajo" de Conti.

Según los investigadores, los miembros de Conti están activos alrededor de 14 horas todos los días, excepto durante el feriado de Año Nuevo, un horario que da cuenta de su eficiencia.

Group-IB dice que el grupo comienza a trabajar hacia el mediodía (GMT+3, hora de Moscú) y se retira después de las 9 p.m. Es probable que los miembros de Conti estén dispersos en varias zonas horarias.

Además, los investigadores destacan que el grupo funciona de manera similar a un negocio legítimo, con personas encargadas de encontrar trabajadores, investigación y desarrollo, ejecutar trabajos OSINT y brindar atención al cliente.

Los esfuerzos de Conti para mantenerse a la vanguardia incluyen el monitoreo de las actualizaciones de Windows y el análisis de los cambios de los nuevos parches, así como el descubrimiento de vulnerabilidades de día cero que pueden usarse en ataques y la explotación de fallas de seguridad recientemente reveladas.

"El aumento de la actividad de Conti y la fuga de datos sugieren que el ransomware ya no es un juego entre los desarrolladores de malware promedio, sino una industria RaaS ilícita que da trabajo a miles de ciberdelincuentes en todo el mundo con diversas especializaciones" - Ivan Pisarev , jefe del equipo de análisis dinámico de malware en Group - Equipo de inteligencia de amenazas de IB

En la cima del juego ransomware

Conti es actualmente una de las tres principales pandillas de ransomware en términos de frecuencia de ataque, ocupando el segundo lugar después de LockBit este año, según los datos recopilados del primer trimestre de 2022.

Desde que la pandilla salió a la luz pública, la lista de víctimas atacadas con el ransomware Conti que no pagó al actor de la amenaza aumentó a 859, aunque es probable que el número real sea significativamente mayor, ya que el recuento solo se basa en los datos publicados en el sitio de fugas del grupo. .

A juzgar solo por este número, en promedio, Conti ha estado publicando cada mes datos robados de al menos 35 organizaciones que no pagaron un rescate.

Los  primeros ataques de ransomware Conti de los  que se enteró BleepingComputer datan de fines de diciembre de 2019. Según Group-IB, las versiones de prueba iniciales del malware se rastrearon hasta noviembre de 2019.

Uno de los ataques Conti más notorios ocurrió recientemente, encriptando sistemas de múltiples organismos gubernamentales en Costa Rica, lo que provocó que el presidente del país declarara un  estado de emergencia nacional .

A pesar de las filtraciones recientes del chat y del  código fuente , Conti continúa dirigiendo un negocio lucrativo que ha mostrado pocas señales de colapsar.

El grupo ha ampliado constantemente su actividad  trabajando con otros operadores de ransomware  (HelloKitty, AvosLocker, Hive, BlackCat, BlackByte, LockBit) y  adquiriendo operaciones cibercriminales como TrickBot .

A pesar de estos movimientos para expandir su negocio, los líderes del equipo de Conti anunciaron en mayo que la marca ya no existía y desconectaron su infraestructura de back-end.

Si bien los sitios de pago y fuga de datos aún estaban operativos, los investigadores afirman que esto se hizo para que pareciera que todavía estaban funcionando con normalidad.

Sin embargo, el sindicato siguió vivo, con el liderazgo de Conti asociándose con pandillas de ransomware más pequeñas para los ataques, en un esfuerzo por dividirse en células más pequeñas en lugar de cambiar el nombre a una operación más grande.

Esto daría como resultado que los ciberdelincuentes experimentados se propaguen a otras empresas de ransomware sin dejar de ser leales al sindicato Conti.

Conti_brick02

Conti se ha convertido en una amenaza tan grande que el gobierno de EE. UU. ofrece una  recompensa de hasta 15 millones de dólares  por información que conduzca a la identificación y ubicación de los principales miembros del grupo.

 

Fuente: Bleepingcomputer.
Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies