Conti Ransomware: dentro de uno de los grupos de ransomware más agresivos del mundo

El grupo de ransomware Conti se ha convertido en uno de los colectivos de ciberdelincuencia más

notorios del mundo, conocido por sus tácticas agresivas y ataques a gran escala contra una amplia
gama de organizaciones públicas y privadas. Junto con otros grupos destacados de ransomware,
Conti ha subrayado la importancia de preparar un plan de respuesta sólido para mitigar los efectos
de lo que podría ser un golpe increíblemente dañino para los activos, el personal y la reputación
de una empresa.

Pero si bien mantiene su lugar como una de las pandillas de ransomware más prolíficas que
existen en el panorama de las amenazas cibernéticas, Conti también ganó una cantidad
significativa de atención en 2022 por la actividad relacionada con posibles divisiones internas. Los
chats privados filtrados entre los miembros de Conti y una fractura del grupo han dejado a los
observadores cuestionando el futuro de los rescatadores, lo que provocó una mirada retrospectiva
sobre cómo se convirtió en un elemento tan fijo en el panorama del ransomware.

Comprender estos antecedentes no solo es fundamental para el conocimiento de Conti de su

organización en particular, sino que también proporciona un contexto importante para las
amenazas de ransomware en su conjunto.

Lectura recomendada: La gran salida cibernética: por qué está disminuyendo el número de
mercados ilícitos

La formación de Conti

Dirigida por actores de amenazas con sede en Rusia, la variante del ransomware Conti se observó
por primera vez alrededor de febrero de 2020, y el colectivo se convirtió rápidamente en uno de
los grupos más activos en el espacio del ransomware. En agosto de 2020, meses después de su
debut inicial, los actores de amenazas que distribuyen Conti lanzaron un sitio de fugas de datos
para publicar documentos confidenciales obtenidos por los atacantes. A fines de 2020, el sitio
había filtrado los datos de más de 150 empresas, lo que las convirtió en el tercer grupo de
filtradores de ransomware más activo ese año, solo detrás de "Maze" y "Egregor".

Conti opera utilizando un modelo de ataque Ransomware-as-a-Service (RaaS), pagando a los

afiliados por implementar con éxito el malware en el sistema de una organización y abriendo la
puerta para que los principales actores de amenazas exploten y coaccionen aún más a la víctima
durante la segunda etapa del ataque. Su modelo y estructura de ataque quedaron expuestos en
agosto de 2021, cuando un ex afiliado de Conti filtró documentos de capacitación de Conti . El
actor de amenazas afirmó que Conti explota a sus afiliados para obtener mano de obra barata,
ofreciendo solo una pequeña parte de las ganancias.
Aunque no está confirmado, hay varios indicios de que los actores de amenazas detrás de Conti
también operan el ransomware "Ryuk", un grupo de actores de amenazas con sede en Rusia a los
que se hace referencia con frecuencia como "Wizard Spider". La compañía de seguridad
CrowdStrike, que se refiere a los actores de amenazas detrás de Ryuk como "Wizard Spider", ha
declarado que "está claro que WIZARD SPIDER ahora está ejecutando múltiples operaciones de
ransomware [Conti y Ryuk]". El investigador de seguridad Brian Krebs y el sitio de noticias
BleepingComputer, entre otros, también afirmaron que las dos cepas de ransomware deben ser
operadas por el mismo grupo debido a la reutilización del código y otras similitudes en su
estructura operativa.

Aunque las similitudes entre las dos cepas de ransomware son notables y las cepas bien pueden
ser administradas por el mismo grupo, Flashpoint aún no ha observado pruebas definitivas de
doble atribución.

Tácticas, técnicas y procedimientos: un ataque Conti en acción

Aunque Conti se considera oficialmente una variante de RaaS, difiere ligeramente en la forma en
que estructura su modelo y el pago de sus afiliados que son responsables de obtener acceso a la
red de una víctima. Se cree que en lugar de dar a estos implementadores iniciales un porcentaje
del rescate que se le quita a la víctima, a los afiliados se les paga un salario fijo. Una vez que los
afiliados obtienen acceso, los operadores de ransomware pasan a la fase de ejecución del ataque
utilizando técnicas que se han vuelto notoriamente agresivas.

Lectura recomendada: ransomware como servicio: la nueva cara del ciberdelito industrializado

Etapa 1: Obtener acceso a la infraestructura de la víctima

Se han observado varios métodos para infiltrarse en la red de una víctima en los ataques de Conti.

Las campañas de phishing dirigido a usuarios individuales con correos electrónicos personalizados
que contienen malware, ya sea en enlaces maliciosos o archivos adjuntos maliciosos que
distribuyen el malware en el dispositivo de la víctima. Los archivos adjuntos, como los
documentos, a menudo también contienen secuencias de comandos incrustadas que descargan
otro malware, como TrickBot o Cobalt Strike, que se utilizan en etapas posteriores del ataque y
para ayudar con una infiltración más profunda de la red. El objetivo final es implementar el
ransomware Conti.
La explotación del protocolo de escritorio remoto utiliza credenciales RDP robadas o débiles para
obtener acceso directo al dispositivo de una organización, lo que le da acceso al malware a los
datos y archivos que puede cifrar.

La compra de acceso de "intermediarios de acceso a la red" permite a los rescatadores de Conti

comprar su acceso a una red pagando a otros grupos que ya obtuvieron acceso en una violación o
ataque anterior.

Etapa 2: Movimiento lateral hacia la red víctima

Una vez que se ha implementado el malware inicial y los actores de la amenaza están dentro, el
objetivo es continuar moviéndose más profundamente en la red para acceder a más datos y
archivos, brindando a los atacantes una mejor ventaja contra la organización víctima.

Junto con el malware que se descarga en el dispositivo de la víctima, independientemente de la

técnica utilizada durante la primera etapa, también se descarga el malware de puerta trasera que
conecta el dispositivo al servidor de comando y control (C2) de Conti. Las herramientas de
encriptación de archivos y malware C2 de segunda etapa se descargan y las herramientas de
penetración como la baliza Cobalt Strike y AdFind, una herramienta de línea de comandos para
consultar el directorio activo, se emplean de forma remota y se propagan a través de la red.
También es posible que Conti se propague a través de Server Message Block (SMB), y la
explotación de SMB es una estrategia utilizada para cifrar datos en otros puntos finales dentro del
mismo dominio de red.

A medida que se propaga, Conti detecta herramientas de seguridad e intentará desactivarlas para
proteger su malware, además de escanear el entorno en el que se encuentra para determinar si se
trata de un entorno aislado que se usa específicamente para el análisis de malware.

Los actores de amenazas también lanzan ataques Kerberos destinados a obtener credenciales y
realizar ataques de fuerza bruta, aumentando aún más el acceso que tiene a una red y
permitiendo un movimiento más lateral dentro del dominio. A menudo emplearán puertas
traseras para permitirles volver a ingresar en un momento posterior y cometer más actividades de
espionaje y monitoreo. Esto puede incluir el seguimiento de la correspondencia por correo
electrónico que brinda información sobre cómo las víctimas planean abordar el ataque, lo que les
brinda otra ventaja cuando llega el momento de negociar.

Etapa 3: Cifrado y eliminación

Una vez que los atacantes han localizado y comprometido los datos de alto valor, se filtran a un
servidor controlado por Conti, y se utiliza el cifrado de subprocesos múltiples para cifrar los
archivos rápidamente.
Otros componentes del método de encriptación y el diseño general del ransomware Conti hacen
que sea muy difícil detectar un ataque. Los programas de seguridad que normalmente serían
capaces de detectar automáticamente un ataque ya no pueden hacerlo, y los signos de infección
se minimizan, por lo que pueden pasar días o semanas antes de que un usuario que intenta
acceder a los datos afectados detecte orgánicamente el cifrado y archivos

Etapa 4: Exfiltración y extorsión

Es estándar que los atacantes de Conti eliminen copias de seguridad de archivos que podrían
ayudar a las víctimas a reducir el daño causado a sus datos cifrados. Pero antes de hacerlo,
también es común que estas copias de seguridad se exfiltren y se guarden para más adelante,
cuando puedan usarse como chantaje para amenazar con filtraciones de datos. Como resultado,
las víctimas no tienen una forma rápida de recuperar sus archivos perdidos y es más probable que
consideren cumplir con las demandas para restaurar el acceso.

Conti mantiene un sitio de filtraciones que se utiliza para revelar públicamente datos robados e
información confidencial sobre una organización, y publica regularmente sobre sus víctimas como
parte de su proceso de extorsión. En los últimos tiempos, el grupo ha utilizado estas filtraciones de
datos como una forma de evitar que las víctimas compartan chats de negociación privados entre
Conti y su víctima con cualquier tercero.

Ha declarado que cualquier víctima que publique sus mensajes privados con el colectivo tendrá su
oportunidad de negociar terminada, y todos los datos robados se filtrarán automáticamente.
También ha anunciado que, en caso de que una víctima decida publicar chats privados después de
que el ataque haya terminado y sus archivos hayan sido eliminados de los servidores de Conti,
Conti elegirá los datos de otra víctima para publicarlos como una forma de castigo colectivo.

Agresión excesiva hacia las víctimas.

Si bien el ransomware Conti se destaca por sus capacidades avanzadas y especificaciones técnicas,
el comportamiento de las personas detrás de Conti es igualmente desafiante para sus víctimas.

Mientras que la mayoría de los grupos de ransomware se esfuerzan por brindar un buen "servicio
al cliente" y retrasan su parte de la negociación, se ha observado en múltiples ocasiones que Conti
ignora descaradamente las promesas hechas a las víctimas y las lastima, incluso si la víctima acepta
pagar. Al grupo no parece importarle su reputación, lo que significa que las víctimas de un ataque
de Conti deben considerar la posibilidad de que el cumplimiento aún resulte en la filtración de
datos o que los archivos permanezcan encriptados.
Ataques notables de Conti

Conti ha tenido cientos de víctimas, y algunas han ganado una atención generalizada
particularmente significativa debido a las tácticas utilizadas o la escala del ataque.

JVCKenwood

En septiembre de 2021, Conti apuntó al fabricante japonés de productos electrónicos

JVCKenwood. Se exigió a la empresa, que tiene su sede en Yokohama, Japón y es conocida
internacionalmente por sus productos electrónicos para automóviles y el hogar, que pague $7
millones por la devolución de aproximadamente 1,7 terabytes de datos robados y encriptados.

Durante el ataque, los chats privados entre Conti y JVCKenwood se filtraron a los periodistas, lo
que llevó a los miembros de Conti a detener las negociaciones y filtrar los datos robados como
advertencia a las futuras víctimas para que no hicieran públicas las comunicaciones con el grupo
de ransomware.

Servicio de Salud de Irlanda

En mayo de 2021, el Servicio de Salud de Irlanda se vio obligado a cerrar sus sistemas de TI
después de que Conti atacara el sistema de salud pública de la nación. El cierre causó estragos en
toda la infraestructura de atención médica, limitando el acceso a los registros médicos y de
diagnóstico y ralentizando los tiempos de respuesta.

Conti alegó que los miembros tuvieron acceso a la red durante dos semanas, reuniendo 700 GB de
datos no cifrados, incluida información confidencial de pacientes y estados financieros. El grupo
pidió un rescate de $19,999,000 para proporcionar un descifrador y eliminar los datos robados.

Gobierno de Costa Rica

En abril de 2022, Conti atacó la red del gobierno de Costa Rica, lo que llevó a los funcionarios a
declarar una emergencia nacional el 8 de mayo. La brecha se extendió a múltiples organismos
gubernamentales, desconectó 27 agencias gubernamentales durante un período prolongado y
ciertas sucursales no pudieron reanudar operaciones hasta principios de junio.

Conti inicialmente pidió un pago de $10 millones, pero aumentó su precio solicitado a $20
millones después de que el gobierno se negara a cooperar con las demandas del grupo.
Poco después del ataque, Conti tomó parte de su operación fuera de línea y anunció que la marca
Conti había terminado, señalando el principio del fin de esta famosa cepa de ransomware tal como
la conocía el mundo. Se especula que este ataque final de Conti contra el gobierno de Costa Rica
fue en parte una táctica para desviar la atención del cierre gradual de sus operaciones.

La muerte de la marca Conti

La guerra entre Rusia y Ucrania ha jugado un papel importante en el hecho de que los miembros
de Conti desconectaran al grupo de ransomware, aunque no está claro si la guerra fue la causa
directa o simplemente un factor que contribuyó. Los signos de su impacto comenzaron poco
después de que la guerra comenzara oficialmente en febrero de 2022.

El 25 de febrero, un día después de que comenzara la invasión rusa de Ucrania, Conti emitió una
declaración de apoyo a favor de Rusia que resultó ser impopular entre los miembros y el mundo
exterior por igual. “Conti” anunció “apoyo total” al gobierno ruso y agregó que los ataques
cibernéticos o cualquier tipo de “actividades de guerra” darían lugar a represalias, incluidas
amenazas a la infraestructura crítica. El colectivo no especificó dónde estarían dirigidas las
represalias.

Un negocio moribundo

Esta declaración de apoyo y la amenaza del grupo de actuar esencialmente en nombre de Rusia
hicieron que el grupo fuera intocable para la mayoría de las posibles empresas víctimas, y casi no
se realizaron pagos al grupo en los meses posteriores a su juramento de lealtad a Rusia.

Si bien el pago potencial a cualquier grupo de ransomware debe discutirse con las fuerzas del
orden para garantizar que sea legalmente permisible, Conti se posicionó como una extensión de
Rusia, lo que hizo que el apoyo financiero al grupo fuera especialmente tóxico. Esto cortó una
parte significativa de los ingresos del grupo, dañando su capacidad de operar.

Una información privilegiada despreciada

Apenas cuatro días después del inicio oficial de la guerra entre Rusia y Ucrania, y tras el anuncio de
Conti de su apoyo a Rusia, una persona con información privilegiada filtró al público decenas de
miles de registros de conversaciones internas. Los documentos revelaron el tamaño del grupo, sus
actividades diarias y cómo estaba estructurada esta “compañía” de delitos cibernéticos, lo que
demuestra que, en muchos sentidos, Conti operaba como lo haría cualquier negocio normal.
Los chats sobre estructuras salariales y procedimientos de contratación de recursos humanos
revelaron que el grupo utilizó cazatalentos rusos legítimos para encontrar nuevos empleados, y
que las revisiones de desempeño, las oportunidades de capacitación y un programa de "empleado
del mes" eran parte del trato cuando trabajaba para Conti. Quizás lo más sorprendente fue que
hubo evidencia de que algunos empleados no sabían que estaban trabajando para los
ciberdelincuentes; en cambio, se les dijo que era una empresa de publicidad o que estaban
creando un software de prueba de penetración y que necesitaban profesionales que pudieran
trabajar discretamente. . Si uno de estos empleados sin saberlo se enteraba para quién estaba
trabajando en realidad, se le ofrecía una bonificación para quedarse y guardar silencio.

La filtración también incluía el código fuente del ransomware Conti, posiblemente la parte más
dañina de esta filtración para el grupo. El mensaje final del denunciante a través de su cuenta
anónima de Twitter fue un mensaje de apoyo a Ucrania, confirmando que la filtración se debió a
desacuerdos políticos internos.

Hay indicios de los chats de que el final estaba cerca para Conti incluso antes de que esta filtración
pusiera el último clavo en el ataúd. Los registros muestran que los pagos de salarios se detuvieron
en enero de 2022 y algunos usuarios importantes para la operación quedaron inactivos. La
actividad en el blog de Conti finalmente se reanudó, por lo que es probable que estos usuarios
cambiaran de chat después de la filtración.

La caza de Conti

Desde entonces, el Programa de Recompensas contra la Delincuencia Organizada Transnacional

del Departamento de Estado de EE. UU. ha ofrecido una recompensa de $10 millones de dólares
por información que conduzca a la identificación de miembros clave del grupo Conti. Este aviso es
independiente de los hechos relacionados con la actividad del grupo durante la guerra Rusia-
Ucrania y menciona específicamente el ataque del grupo contra Costa Rica, que causó estragos en
el comercio exterior del país.

El futuro de Conti

En este punto, no está claro si Conti realmente se ha ido, o si el grupo (o ciertos miembros)
simplemente se están tomando el tiempo para reestructurarse y regresar en el futuro. Muchos
dudan de que Conti permanecerá cerrado para siempre, en parte debido a lo sofisticada que era
su tecnología y lo establecida que se volvió.

Es posible que Conti no regrese por su nombre, sino que se cambie de marca. Por ahora, el grupo
se ha mantenido mayormente en silencio.
¿Un posible sucesor?

El mundo del ransomware está protegido por una puerta giratoria, lo que significa que cuando un
grupo sale, nunca se queda atrás uno nuevo. Descubierto por primera vez en julio de 2021, se ha
observado que el ransomware Diavol usa algunos de los mismos componentes de ataque que
Conti. Con Conti ahora potencialmente fuera de la carrera de ransomware, esto plantea la
pregunta de si Diavol podría convertirse en la próxima operación de ransomware notoria.

En octubre de 2021, el FBI vinculó oficialmente a Diavol con WizardSpider, el desarrollador de

malware que también se sospecha que está detrás de Conti. Aunque la relación entre
WizardSpider y Conti aún no está confirmada por Flashpoint, esta posible conexión solidifica aún
más la teoría de que Diavol puede pasar a un primer plano mientras Conti pasa a un segundo
plano.