El grupo Conti

Foto

Por IDL-Reporteros.-

Se manejaba como una corporación con horarios de trabajo, pagos quincenales de sueldo y monitoreo de la productividad de sus trabajadores. 

Según la publicación especializada (en ciberseguridad), Trellix, “es fascinante cómo Conti parece una compañía como las demás, con un edificio de oficinas, Recursos Humanos y otros departamentos […] Los horarios de trabajo son de 10 am-6pm hora de Moscú, cinco días por semana. Stern es el jefe, que supervisa todo y tiene a 100 personas en planilla […] la compañía existe desde hace más de diez años, su centro de operaciones es Rusia”.

Un artículo reciente en Wired la prestigiosa publicación sobre tecnología, ciencia y, entre otras cosas, ciberseguridad resume, en su párrafo inicial, la absorbente fascinación del caso Conti:

“La banda Conti, de ransomware, estaba en la cima del mundo. La extensa red de cibercriminales extorsionó $180 millones de dólares de sus víctimas el año pasado, eclipsando las ganancias de otras bandas de ransomware. Entonces apoyó la invasión de Putin a Ucrania, y todo empezó a desarmarse”.

 

Conti fue la banda de ransomware con más ingresos de 2021 por extorsiones, superando los 180 millones (Infografía: chainalysis).

 

Conti, el grupo filtrador de datos saqueados con fines de extorsión, resultó siendo filtrado y, ante los ojos fascinados de, sobre todo, los especialistas en seguridad digital, pasó de ser el hoyo negro, misterioso e intimidante en la Dark Web, a una organización desnudada de secretos, impregnada de rutinas, pero que, pese a todo, mantiene una capacidad de amenaza y daño, de adaptación y modificación.

De todos modos, los Contileaks, como se los llama ahora, fueron el equivalente de los Panama Papers en el delito digital. Revelaron mucho, aunque son tan recientes que es difícil determinar todavía cuál será su impacto final.

Antes que pirata, Conti era un corsario digital. Tenía una base segura en Rusia y, según revelaron las filtraciones, colaboró operativamente con el FSB, el servicio de seguridad y espionaje ruso, sobre todo en el caso Navalny.

Por eso, cuando en febrero de este año Putin lanzó la invasión rusa a Ucrania, el grupo Conti sacó en sus redes el siguiente comunicado.

 

 

Pese a su base rusa, la red del grupo Conti fue y es internacional. Esa red, según coinciden los medios especializados, incluía a un ucraniano con acceso a los archivos y las conversaciones internas. De acuerdo con versiones recogidas, se trataba de un investigador en ciberseguridad que había infiltrado el grupo. Sea como fuere, el 28 de febrero, 60 mil mensajes de chat del grupo Conti fueron publicados en @ContiLeaks. De acuerdo con Wire, las filtraciones incluyeron también numerosos documentos y códigos fuente. El efecto fue devastador.

La impresión que deja la lectura de los leaks, antes que de un retrato, es la de un mural de la vida cotidiana de gangsters industriosos.  

 

Mango y Stern discutiendo su «nuevo foro» de hackers (captura: Trellix).

 

Con ‘Stern’ al frente y ‘Mango’ como gerente general, los 62 miembros del núcleo ejecutivo se organizaron en departamentos que trabajaban en horarios burgueses, respetando los fines de semana y las vacaciones. El sistema, sin embargo, escalonaba horarios y fechas para que en ningún momento parara el negocio de esparcir malware y desgracia con fines de lucro, a través de cualquier blanco de oportunidad en el mundo.

Era una operación en permanente comunicación digital interna. ¿Cómo lo hacía? En la red navegaban, a través de Tor, el poderoso anonimizador. Los correos electrónicos se transmitían por Protonmail. Las conversaciones se daban a través de Jabber y de Rocket.chat, cuyo código abierto les resultaba adaptable y seguro. La transferencia de archivos –como los robados a la DIGIMIN– era a través de File.io y Crunchbase para las bases de datos.  

Los años de la pandemia fueron lucrativos para el grupo Conti. En mayo de 2021, Conti secuestró la información digital de los servicios de salud pública en Irlanda y demandó un rescate de 20 millones de dólares. El gobierno de Irlanda se negó a pagar. Un año después, las autoridades irlandesas estimaron que el costo de recuperarse del ataque fue de casi $50 millones de dólares. No figuró, por cierto, el costo de las pérdidas humanas.

En 2020, Conti atacó la Corte del Cuarto Distrito de Louisiana y publicó documentos judiciales en la Dark Web. 

A comienzos de año, el gigante electrónico taiwanés, Delta Electronics, proveedora de Apple, Dell y Tesla, sufrió un ataque del grupo Conti que afectó, según fuentes cercanas al hecho, a 12 mil computadoras y 1,500 servidores. La red de Delta es de aproximadamente 65 mil aparatos. Las ventas de la compañía suman más de 9 mil millones de dólares por año. Conti exigió un rescate de $15 millones. 

 

Nota de rescate de Conti a Delta Electronics (Origen de la captura: Bleeping Computer).

 

El ataque, astuto y bien planeado contra una compañía proveedora para afectar sus procesos de entrega, representó su momento de mayor poderío. Poco después empezó la guerra de Ucrania, los Contileaks y el cuesta abajo de los gangsters.

Cuando el efecto de las filtraciones se acumuló y llevó a la revelación de la identidad de algunos de sus miembros, los líderes del grupo Conti, empezando por Stern, decidieron desaparecer y ocultarse por un tiempo. Los empleados y ejecutivos recibieron la noticia de que por ahora no habría más pagos de sueldos, que les tocaba tomar largas vacaciones y que eventualmente serían de nuevo contactados. 

Lo sorprendente es que todo ese proceso de disgregación ocurrió mientras miembros del grupo Conti secuestraban la información de la DIGIMIN y otras dependencias del Estado, poco después de atacar, con mucho más efecto, al gobierno de Costa Rica. 

 

 

¿Cómo pudo una organización fracturada, en apurado repliegue, llevar a cabo esos ataques?

La publicación digital especializada https://cyberint.com/ escribió hace poco que “aunque el sitio de filtraciones de Conti sigue en operaciones y se han añadido nuevas víctimas, no sabemos si se trata de víctimas realmente nuevas o ya comprometidas antes de la filtración”. 

El caso del Perú parece sugerir que por lo menos algunas víctimas institucionales son nuevas.

Un analista forense de Qurium dijo a IDL-R que los casos de Costa Rica y Perú sucedieron “después de los Contileaks. ¿Estamos hablando del mismo Conti? […] El enlace donde se cuelga lo de Perú tiene el mismo dominio dentro de la red Tor que la página de Conti. Es la misma página, ¿pero es el mismo Conti? El modelo narrativo es otro. Por ejemplo, el hecho de utilizar el mismo afiliado (‘unc1756’) para Perú y Costa Rica. El afiliado es el que hizo la fase de infección”.

 

Una de las notas de extorsivas enviadas al gobierno de Costa Rica.

 

La conclusión de Cyberint, por su parte, es que “[ …] no podemos determinar si el grupo retornará completo o si se fragmentará en grupos diferentes, o si tratará de integrarse con su mayor competidor, Lockbit2.0 […] [en todo caso] esta puede no ser la última oportunidad en la que escuchemos de Conti, o del ransomware de Conti”.

En el Perú y en Costa Rica el grupo se sigue escuchando; no como un recuerdo sino como una creciente amenaza.

Publicado el domingo 22 de mayo, 2022 a las 17:04 | RSS 2.0.
Última actualización el viernes 24 de junio, 2022 a las 23:17

Deje un comentario

Web por: Frederick Corazao

Untitled Document