Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pero si bien mantiene su lugar como una de las pandillas de ransomware más prolíficas que
existen en el panorama de las amenazas cibernéticas, Conti también ganó una cantidad
significativa de atención en 2022 por la actividad relacionada con posibles divisiones internas. Los
chats privados filtrados entre los miembros de Conti y una fractura del grupo han dejado a los
observadores cuestionando el futuro de los rescatadores, lo que provocó una mirada retrospectiva
sobre cómo se convirtió en un elemento tan fijo en el panorama del ransomware.
Lectura recomendada: La gran salida cibernética: por qué está disminuyendo el número de
mercados ilícitos
La formación de Conti
Dirigida por actores de amenazas con sede en Rusia, la variante del ransomware Conti se observó
por primera vez alrededor de febrero de 2020, y el colectivo se convirtió rápidamente en uno de
los grupos más activos en el espacio del ransomware. En agosto de 2020, meses después de su
debut inicial, los actores de amenazas que distribuyen Conti lanzaron un sitio de fugas de datos
para publicar documentos confidenciales obtenidos por los atacantes. A fines de 2020, el sitio
había filtrado los datos de más de 150 empresas, lo que las convirtió en el tercer grupo de
filtradores de ransomware más activo ese año, solo detrás de "Maze" y "Egregor".
Aunque las similitudes entre las dos cepas de ransomware son notables y las cepas bien pueden
ser administradas por el mismo grupo, Flashpoint aún no ha observado pruebas definitivas de
doble atribución.
Aunque Conti se considera oficialmente una variante de RaaS, difiere ligeramente en la forma en
que estructura su modelo y el pago de sus afiliados que son responsables de obtener acceso a la
red de una víctima. Se cree que en lugar de dar a estos implementadores iniciales un porcentaje
del rescate que se le quita a la víctima, a los afiliados se les paga un salario fijo. Una vez que los
afiliados obtienen acceso, los operadores de ransomware pasan a la fase de ejecución del ataque
utilizando técnicas que se han vuelto notoriamente agresivas.
Lectura recomendada: ransomware como servicio: la nueva cara del ciberdelito industrializado
Se han observado varios métodos para infiltrarse en la red de una víctima en los ataques de Conti.
Las campañas de phishing dirigido a usuarios individuales con correos electrónicos personalizados
que contienen malware, ya sea en enlaces maliciosos o archivos adjuntos maliciosos que
distribuyen el malware en el dispositivo de la víctima. Los archivos adjuntos, como los
documentos, a menudo también contienen secuencias de comandos incrustadas que descargan
otro malware, como TrickBot o Cobalt Strike, que se utilizan en etapas posteriores del ataque y
para ayudar con una infiltración más profunda de la red. El objetivo final es implementar el
ransomware Conti.
La explotación del protocolo de escritorio remoto utiliza credenciales RDP robadas o débiles para
obtener acceso directo al dispositivo de una organización, lo que le da acceso al malware a los
datos y archivos que puede cifrar.
Una vez que se ha implementado el malware inicial y los actores de la amenaza están dentro, el
objetivo es continuar moviéndose más profundamente en la red para acceder a más datos y
archivos, brindando a los atacantes una mejor ventaja contra la organización víctima.
A medida que se propaga, Conti detecta herramientas de seguridad e intentará desactivarlas para
proteger su malware, además de escanear el entorno en el que se encuentra para determinar si se
trata de un entorno aislado que se usa específicamente para el análisis de malware.
Los actores de amenazas también lanzan ataques Kerberos destinados a obtener credenciales y
realizar ataques de fuerza bruta, aumentando aún más el acceso que tiene a una red y
permitiendo un movimiento más lateral dentro del dominio. A menudo emplearán puertas
traseras para permitirles volver a ingresar en un momento posterior y cometer más actividades de
espionaje y monitoreo. Esto puede incluir el seguimiento de la correspondencia por correo
electrónico que brinda información sobre cómo las víctimas planean abordar el ataque, lo que les
brinda otra ventaja cuando llega el momento de negociar.
Una vez que los atacantes han localizado y comprometido los datos de alto valor, se filtran a un
servidor controlado por Conti, y se utiliza el cifrado de subprocesos múltiples para cifrar los
archivos rápidamente.
Otros componentes del método de encriptación y el diseño general del ransomware Conti hacen
que sea muy difícil detectar un ataque. Los programas de seguridad que normalmente serían
capaces de detectar automáticamente un ataque ya no pueden hacerlo, y los signos de infección
se minimizan, por lo que pueden pasar días o semanas antes de que un usuario que intenta
acceder a los datos afectados detecte orgánicamente el cifrado y archivos
Es estándar que los atacantes de Conti eliminen copias de seguridad de archivos que podrían
ayudar a las víctimas a reducir el daño causado a sus datos cifrados. Pero antes de hacerlo,
también es común que estas copias de seguridad se exfiltren y se guarden para más adelante,
cuando puedan usarse como chantaje para amenazar con filtraciones de datos. Como resultado,
las víctimas no tienen una forma rápida de recuperar sus archivos perdidos y es más probable que
consideren cumplir con las demandas para restaurar el acceso.
Conti mantiene un sitio de filtraciones que se utiliza para revelar públicamente datos robados e
información confidencial sobre una organización, y publica regularmente sobre sus víctimas como
parte de su proceso de extorsión. En los últimos tiempos, el grupo ha utilizado estas filtraciones de
datos como una forma de evitar que las víctimas compartan chats de negociación privados entre
Conti y su víctima con cualquier tercero.
Ha declarado que cualquier víctima que publique sus mensajes privados con el colectivo tendrá su
oportunidad de negociar terminada, y todos los datos robados se filtrarán automáticamente.
También ha anunciado que, en caso de que una víctima decida publicar chats privados después de
que el ataque haya terminado y sus archivos hayan sido eliminados de los servidores de Conti,
Conti elegirá los datos de otra víctima para publicarlos como una forma de castigo colectivo.
Si bien el ransomware Conti se destaca por sus capacidades avanzadas y especificaciones técnicas,
el comportamiento de las personas detrás de Conti es igualmente desafiante para sus víctimas.
Mientras que la mayoría de los grupos de ransomware se esfuerzan por brindar un buen "servicio
al cliente" y retrasan su parte de la negociación, se ha observado en múltiples ocasiones que Conti
ignora descaradamente las promesas hechas a las víctimas y las lastima, incluso si la víctima acepta
pagar. Al grupo no parece importarle su reputación, lo que significa que las víctimas de un ataque
de Conti deben considerar la posibilidad de que el cumplimiento aún resulte en la filtración de
datos o que los archivos permanezcan encriptados.
Ataques notables de Conti
Conti ha tenido cientos de víctimas, y algunas han ganado una atención generalizada
particularmente significativa debido a las tácticas utilizadas o la escala del ataque.
JVCKenwood
Durante el ataque, los chats privados entre Conti y JVCKenwood se filtraron a los periodistas, lo
que llevó a los miembros de Conti a detener las negociaciones y filtrar los datos robados como
advertencia a las futuras víctimas para que no hicieran públicas las comunicaciones con el grupo
de ransomware.
En mayo de 2021, el Servicio de Salud de Irlanda se vio obligado a cerrar sus sistemas de TI
después de que Conti atacara el sistema de salud pública de la nación. El cierre causó estragos en
toda la infraestructura de atención médica, limitando el acceso a los registros médicos y de
diagnóstico y ralentizando los tiempos de respuesta.
Conti alegó que los miembros tuvieron acceso a la red durante dos semanas, reuniendo 700 GB de
datos no cifrados, incluida información confidencial de pacientes y estados financieros. El grupo
pidió un rescate de $19,999,000 para proporcionar un descifrador y eliminar los datos robados.
En abril de 2022, Conti atacó la red del gobierno de Costa Rica, lo que llevó a los funcionarios a
declarar una emergencia nacional el 8 de mayo. La brecha se extendió a múltiples organismos
gubernamentales, desconectó 27 agencias gubernamentales durante un período prolongado y
ciertas sucursales no pudieron reanudar operaciones hasta principios de junio.
Conti inicialmente pidió un pago de $10 millones, pero aumentó su precio solicitado a $20
millones después de que el gobierno se negara a cooperar con las demandas del grupo.
Poco después del ataque, Conti tomó parte de su operación fuera de línea y anunció que la marca
Conti había terminado, señalando el principio del fin de esta famosa cepa de ransomware tal como
la conocía el mundo. Se especula que este ataque final de Conti contra el gobierno de Costa Rica
fue en parte una táctica para desviar la atención del cierre gradual de sus operaciones.
La guerra entre Rusia y Ucrania ha jugado un papel importante en el hecho de que los miembros
de Conti desconectaran al grupo de ransomware, aunque no está claro si la guerra fue la causa
directa o simplemente un factor que contribuyó. Los signos de su impacto comenzaron poco
después de que la guerra comenzara oficialmente en febrero de 2022.
El 25 de febrero, un día después de que comenzara la invasión rusa de Ucrania, Conti emitió una
declaración de apoyo a favor de Rusia que resultó ser impopular entre los miembros y el mundo
exterior por igual. “Conti” anunció “apoyo total” al gobierno ruso y agregó que los ataques
cibernéticos o cualquier tipo de “actividades de guerra” darían lugar a represalias, incluidas
amenazas a la infraestructura crítica. El colectivo no especificó dónde estarían dirigidas las
represalias.
Un negocio moribundo
Esta declaración de apoyo y la amenaza del grupo de actuar esencialmente en nombre de Rusia
hicieron que el grupo fuera intocable para la mayoría de las posibles empresas víctimas, y casi no
se realizaron pagos al grupo en los meses posteriores a su juramento de lealtad a Rusia.
Si bien el pago potencial a cualquier grupo de ransomware debe discutirse con las fuerzas del
orden para garantizar que sea legalmente permisible, Conti se posicionó como una extensión de
Rusia, lo que hizo que el apoyo financiero al grupo fuera especialmente tóxico. Esto cortó una
parte significativa de los ingresos del grupo, dañando su capacidad de operar.
Apenas cuatro días después del inicio oficial de la guerra entre Rusia y Ucrania, y tras el anuncio de
Conti de su apoyo a Rusia, una persona con información privilegiada filtró al público decenas de
miles de registros de conversaciones internas. Los documentos revelaron el tamaño del grupo, sus
actividades diarias y cómo estaba estructurada esta “compañía” de delitos cibernéticos, lo que
demuestra que, en muchos sentidos, Conti operaba como lo haría cualquier negocio normal.
Los chats sobre estructuras salariales y procedimientos de contratación de recursos humanos
revelaron que el grupo utilizó cazatalentos rusos legítimos para encontrar nuevos empleados, y
que las revisiones de desempeño, las oportunidades de capacitación y un programa de "empleado
del mes" eran parte del trato cuando trabajaba para Conti. Quizás lo más sorprendente fue que
hubo evidencia de que algunos empleados no sabían que estaban trabajando para los
ciberdelincuentes; en cambio, se les dijo que era una empresa de publicidad o que estaban
creando un software de prueba de penetración y que necesitaban profesionales que pudieran
trabajar discretamente. . Si uno de estos empleados sin saberlo se enteraba para quién estaba
trabajando en realidad, se le ofrecía una bonificación para quedarse y guardar silencio.
La filtración también incluía el código fuente del ransomware Conti, posiblemente la parte más
dañina de esta filtración para el grupo. El mensaje final del denunciante a través de su cuenta
anónima de Twitter fue un mensaje de apoyo a Ucrania, confirmando que la filtración se debió a
desacuerdos políticos internos.
Hay indicios de los chats de que el final estaba cerca para Conti incluso antes de que esta filtración
pusiera el último clavo en el ataúd. Los registros muestran que los pagos de salarios se detuvieron
en enero de 2022 y algunos usuarios importantes para la operación quedaron inactivos. La
actividad en el blog de Conti finalmente se reanudó, por lo que es probable que estos usuarios
cambiaran de chat después de la filtración.
La caza de Conti
El futuro de Conti
En este punto, no está claro si Conti realmente se ha ido, o si el grupo (o ciertos miembros)
simplemente se están tomando el tiempo para reestructurarse y regresar en el futuro. Muchos
dudan de que Conti permanecerá cerrado para siempre, en parte debido a lo sofisticada que era
su tecnología y lo establecida que se volvió.
Es posible que Conti no regrese por su nombre, sino que se cambie de marca. Por ahora, el grupo
se ha mantenido mayormente en silencio.
¿Un posible sucesor?
El mundo del ransomware está protegido por una puerta giratoria, lo que significa que cuando un
grupo sale, nunca se queda atrás uno nuevo. Descubierto por primera vez en julio de 2021, se ha
observado que el ransomware Diavol usa algunos de los mismos componentes de ataque que
Conti. Con Conti ahora potencialmente fuera de la carrera de ransomware, esto plantea la
pregunta de si Diavol podría convertirse en la próxima operación de ransomware notoria.