Ola de ataques de Conti vulneró a más de 40 organizaciones en un mes
El grupo de delitos cibernéticos Conti está ejecutando una de las operaciones de ransomware más agresivas y se ha vuelto altamente organizado. Está tan organizado hasta el punto de que los afiliados pudieron hackear más de 40 empresas en poco más de un mes.
Los investigadores de seguridad nombraron en código la campaña de hacking como ARMattack y la describieron como una de las “más productivas” y “extremadamente efectivas” del grupo.
Campaña de ataques ultrarrápida
En un informe compartido recientemente, los investigadores de la empresa de ciberseguridad Group-IB afirman que una de las “campañas más productivas” de Conti ocurrió el año pasado. Esta ocurrió entre el 17 de noviembre y el 20 de diciembre de 2021.
Ellos descubrieron la juerga de hacking del grupo durante un mes durante las actividades de respuesta a incidentes y lo llamaron ARMatack. El nombre está basado en un nombre de dominio que expuso la infraestructura de la banda.
Durante la campaña, los afiliados de Conti lograron comprometer a más de 40 organizaciones en varios sectores de actividad que operan en una amplia geografía. No obstante, se enfocaron en empresas ubicadas en los Estados Unidos.
Un portavoz de Group-IB dijo que ARMattack fue muy rápido. Él explicó que el informe de la compañía se refiere a organizaciones que tenían sus redes comprometidas. Se desconoce si alguna de las víctimas pagó el rescate exigido por los atacantes.
El sitio de filtraciones de Conti publicó datos de hasta 46 víctimas en solo un mes (por ejemplo, abril de 2022). No obstante, la fecha de compromiso sigue sin estar clara.
Según los datos de Group-IB, el ataque exitoso más corto de Conti duró solo tres días desde el momento del acceso inicial hasta el cifrado de los sistemas de la organización.
“Después de obtener acceso a la infraestructura de una empresa, los actores de amenazas exfiltran documentos específicos (la mayoría de las veces para determinar con qué organización están tratando). Además, buscan archivos que contienen contraseñas (tanto en texto plano como cifradas). Por último, después de adquirir todos los privilegios necesarios y obtener acceso a todos los dispositivos que les interesan, los hackers implementan ransomware en todos los dispositivos y lo ejecutan”
– Group-IB
“Horas de oficina”
Usando datos recopilados de fuentes públicas, como los chats internos filtrados de la pandilla, Group-IB ha estado analizando las “horas de trabajo” de Conti.
Según los investigadores, los miembros de Conti están activos alrededor de 14 horas todos los días, excepto durante el feriado de Año Nuevo. Este horario da cuenta de su eficiencia.
Group-IB dice que el grupo comienza a trabajar hacia el mediodía (GMT+3, hora de Moscú) y se retira después de las 9 p.m. Es probable que los miembros de Conti estén dispersos en varias zonas horarias.
Además, los investigadores destacan que el grupo funciona de manera similar a un negocio legítimo. Es decir, tiene personas encargadas de encontrar trabajadores, investigación y desarrollo, ejecutar trabajos OSINT y brindar atención al cliente.
Los esfuerzos de Conti para mantenerse a la vanguardia incluyen el monitoreo de las actualizaciones de Windows y el análisis de los cambios de los nuevos parches. Asimismo, el descubrimiento de vulnerabilidades de día cero que pueden usarse en ataques y la explotación de vulnerabilidades de seguridad recientemente reveladas.
“El aumento de la actividad de Conti y la filtración de datos sugieren que el ransomware ya no es un juego entre desarrolladores de malware promedio, sino una industria RaaS ilícita que da trabajo a miles de ciberdelincuentes en todo el mundo con diversas especializaciones”.
Ivan Pisarev , Jefe del Equipo de Análisis de Malware Dinámico en el equipo de Inteligencia de Amenazas de Group-IB
En la cima del negocio de ransomware
Conti es actualmente una de las tres principales bandas de ransomware en términos de frecuencia de ataques. Asimismo, ocupa el segundo lugar después de LockBit este año, según los datos recopilados del primer trimestre de 2022.
Desde que la banda salió a la luz pública, la lista de víctimas atacadas con el ransomware Conti que no pagó a los atacantes aumentó a 859. No obstante, es probable que el número real sea significativamente mayor, ya que el recuento solo se basa en los datos publicados en el sitio de filtración del grupo.
A juzgar solo por este número, en promedio, Conti ha estado publicando cada mes datos robados de al menos 35 organizaciones que no pagaron un rescate.
Los primeros ataques de ransomware de Conti de los que tenemos información datan de fines de diciembre de 2019.
Uno de los ataques de Conti más notorios ocurrió recientemente, cifrando sistemas de múltiples organismos gubernamentales en Costa Rica, lo que provocó que el presidente del país declarara un estado de emergencia nacional.
A pesar de las filtraciones recientes del código fuente y del chat, Conti continúa dirigiendo un negocio lucrativo que ha mostrado pocas señales de colapsar.
Conti se ha convertido en una amenaza tan grande que el gobierno de Estados Unidos ofrece una recompensa de hasta 15 millones de dólares por información que conduzca a la identificación y ubicación de los principales miembros del grupo.