• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Conti Leaks, día a día de una operación de ransomware

Conti Leaks, día a día de una operación de ransomware

15 marzo, 2022 Por Antonio Tascón Deja un comentario

Tras el leak de los chats del grupo de ransomware Conti, Brian Krebs ha publicado en su sitio un análisis de la información más jugosa que se extrae de ellos. Nos hacemos eco aquí de dicha información, recomendando encarecidamente la lectura de los artículos originales del autor.

Desmantelamiento de Trickbot y recuperación de Conti

En septiembre de 2020, la Agencia Nacional de Seguridad (NSA) comenzó una operación a gran escala para desmantelar la botnet Trickbot. Esta red ha sido usada por Conti, entre otros, para propagar sus ataques de ransomware.

Se consiguió por parte de la agencia americana tomar control de la red, desconectando los nodos de los servidores usados para su control. Los chats del grupo Conti desvelan información al respecto de esta acción por parte de la NSA.

Uno de los líderes de Conti, identificado con el pseudónimo «Hof», comentaba acerca del sabotaje de la red. Según su análisis, la agencia americana debía tener acceso al código fuente del bot o haberlo obtenido mediante ingeniería inversa. Se suministró una configuración a los bot de tal manera que seguían funcionando pero sin realizar ninguna de las acciones para las que estaban diseñados. Y además se impedía que se repararan automáticamente o que descargasen una actualización nueva que cambiase la configuración suministrada.

Desgraciadamente tras varias semanas el grupo Conti consiguió rehacer su infraestructura de malware y decidió contraatacar infectando 428 hospitales en los Estados Unidos, en un intento por sembrar el pánico. Cómo consecuencia de dicho ataque el FBI y el departamento de Seguridad Nacional se vieron obligados a tener una conferencia urgente con la industria médica para atajar la inminente amenaza.

La colaboración de Rusia y la caída de REvil

Quedan constancia en los chats filtrados por ContiLeaks de la petición de colaboración del FBI a las autoridades rusas. Al parecer el objetivo de la agencia americana era conseguir la detención de los delincuentes detrás de la botnet Trickbot. Sin embargo según se desprende de las conversaciones internas del grupo, las autoridades rusas no tenían intenciones reales de colaborar.

En primera instancia la investigación fue desechada y finalmente se reactivó. Sin embargo, al reactivarse, el objetivo de la misma cambió hacia el grupo de malware REvil, principal competidor de Conti. En enero de este mismo año, el gobierno ruso anunciaba el arresto de 14 personas relacionadas con esta banda. Según las autoridades, esta operación se había llevado a cabo en respuesta a la petición de los oficiales norteamericanos pero, como vemos, esto no se ajusta del todo a la verdad.

Estructura y gestión interna de Conti

Los chats filtrados del grupo Conti muestran bastante información acerca del funcionamiento interno del grupo. A nadie le sorprende que, dada la magnitud de las operaciones que llevan a cabo, su estructura se asemeje mucho a la de cualquier empresa de mediano tamaño.

Se desprende de los chats la existencia de un departamento de recursos humanos, encargados de entrevistar a posibles candidatos a ingresar a la banda. Programadores destinados a crear código malicioso. Testers para verificar y mejorar el funcionamiento del malware contra herramientas de seguridad. Administradores de sistemas encargados de mantener los sistemas internos de la compañía y ayudar a desmantelar los de las víctimas. Especialistas en ingeniería inversa, con la función de encontrar vulnerabilidades en software comercial. Y finalmente especialistas en tests de penetración, constituyendo la primera línea de ataque contra los equipos de seguridad de las compañías objetivo.

Según se desprende de los chats, se estaría ofreciendo un sueldo base de 2.000 dólares para recién contratados, pero habría empleados con salarios en un rango entre los cinco y los diez mil dólares, dependiendo de su productividad. A cada trabajador se le asignaría una semana de trabajo de 5 días, estando las semanas distribuidas de tal manera que hubiese un personal mínimo durante las 24 horas del día, para atender necesidades de mantenimiento de la botnet o negociaciones iniciadas con víctimas del ransomware.

A pesar de que Conti es una banda con alto impacto y mucha efectividad, del análisis de las conversaciones internas se desprende un cierto aire de desorganización y falta de coordinación internas, llegando a darse el caso de la pérdida de nodos de su botnet debido a no localizar recursos necesarios en monederos virtuales en previsión de pagos para mantener VPNs o servidores necesarios para la continuidad de sus operaciones.

Herramientas de Osint

Según el reporte de la firma Chainalysis, los beneficios del grupo en 2021 estarían en torno a los 180 millones de dólares. De este modo, Conti es con diferencia el grupo de ransomware más exitoso en activo. Los chats filtrados permiten estimar que el número de empleados de la banda fluctúa entre los 65 y los 100 empleados. La inversión en herramientas de seguridad y antivirus es muy elevada. Estas son usadas no sólo para tests de detección de su ransomware, sino también cómo medida de protección interna.

gráfica de ganancias de grupos de ransomware
Ganacias estimadas de las bandas de ransomware. Fuente Chainalysis

Además se registran conversaciones sobre la vigilancia que se impone a los administradores, validando la actividad de los mismos en los servidores internos. Así se verifica que no se estén realizando operaciones que puedan poner en peligro la continuidad o seguridad de la operación. Esto provoca no pocos roces entre los distintos miembros de la banda.

La inversión de Conti en herramientas de inteligencia de fuentes abiertas (OSINT) es especialmente notable. Se requieren suscripciones a Crunchbase Pro y Zoominfo, haciendo notar que dichos servicios proporcionan información de gran valor para la banda, como el montante que tienen asegurado múltiples compañías, una estimación de sus ganancias e información de contacto de ejecutivos y miembros de sus juntas directivas.

Además, la banda hace uso de múltiples herramientas para determinar las compañías que están detrás de ciertos rangos de IP, si una VPN está ligada a una cierta IP o no. Esto es crucial para sus operaciones, dado que la red de botnet de la banda accede a un gran número de sistemas, por lo que necesita priorizar cuales de estos están situados dentro de la red de grandes corporaciones.

Herramientas de pentesting y contactos varios

También se extrae de los chats de Conti la adquisición de una licencia de Cobalt Strike. Esta herramienta comercial para tests de penetración sólo se vende a determinadas empresas bajo estrictos criterios. Según se desprende de la información examinada el coste de la adquisición de la licencia ascendería los 60.000 dólares. La mitad de los cuales cubrirían el precio de la herramienta mientras que el resto se destinarían a una compañía legítima que realizaría la compra.

Además se ha encontrado información de pago a un periodista y empleados de firmas que se dedican a la recuperación de sistemas tras un ataque de ransomware. Así, Conti contaría con cierta influencia en los medios para poner presión sobre las víctimas y forzar el pago. Los empleados dedicados a la recuperación actuarían cómo negociadores entre Conti y las empresas víctimas. La banda tendría entonces cierta seguridad de que está sacando todo el jugo posible a la empresa extorsionada, al tener un contacto interno en nómina.

Conti y la fiebre crypto

Las grandes cantidades de dinero que mueve la banda Conti le permite realizar acciones que no están al alcance de otras, cómo variar a placer el valor de ciertas criptomonedas. En un interesante chat entre miembros del grupo se habla de una operación masiva de inflado de una criptomoneda que reportaría importantes beneficios a la banda. Aunque no se menciona qué plataforma sería la afectada las fechas parecen concordar con el colapso de la moneda Squid.

También se muestra gran interés por parte de miembros de Conti por la creación de proyectos relacionados con smart contracts. No es nada descabellada esta aproximación, ya existen estudios al respecto sobre el impacto «positivo» que tendrían estos en operaciones de ransomware. Con estos contratos las víctimas pueden verificar que efectivamente recibirán lo acordado si realizan el pago que se les require.

En resumen, vemos que de las filtraciones de ContiLeaks se han obtenidos datos de lo más interesantes acerca de cómo opera internamente la mayor banda de ransomware en activo. Está por ver si lo seguirá siendo después de ver toda su información expuesta, según parece por un analista ucraniano que decidió atacar a la banda después de que esta mostrase públicamente su apoyo al gobierno ruso.

Más información:

https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-iv-cryptocrime/
https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-i-evasion/
https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-ii-the-office/
https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-iii-weaponry/
https://arxiv.org/pdf/2003.04426.pdf
https://medium.com/reserve-currency/smart-contracts-will-make-ransomware-more-profitable-part-1-a687fc370320
https://gizmodo.com/squid-game-cryptocurrency-scammers-make-off-with-2-1-m-1847972824

Acerca de Antonio Tascón

Antonio Tascón Márquez Ha escrito 20 publicaciones.

  • View all posts by Antonio Tascón →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General, Leak, Malware Etiquetado como: malware, ransomware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • ¿Qué es DMARC? La necesidad de la protección del correo electrónico

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...