Es probable que los operadores de Conti busquen reagruparse. Esto es lo que están haciendo mientras tanto.
El grupo Conti puede haber anunciado públicamente que detendría sus operaciones a raíz de los ContiLeaks, pero eso no significa que el grupo haya desaparecido por completo.
Desde el anuncio en mayo de 2022, los investigadores de Intel 471 han observado que los actores leales a Conti se dividen y se mueven en diferentes direcciones dentro de la clandestinidad del ciberdelito. Algunos actores se han inclinado hacia proyectos paralelos que aprovechan segmentos de las operaciones anteriores de Conti, como el acceso a la red o el robo de datos. Otros supuestamente han forjado alianzas con otros grupos de Ransomware-as-a-service (RaaS), basándose en relaciones individuales que se cultivaron durante la existencia de Conti.
Cualquiera que sea el camino que hayan elegido los ex actores afiliados a Conti, todavía están enfocados en obtener ganancias y mantenerse fuera de la custodia de las fuerzas del orden, mientras superan las filtraciones de información y la subsiguiente atención de los medios de los últimos meses.
Retiro y cambio de marca
Habiendo manejado previamente una variedad de negocios paralelos clandestinos, los actores asociados con Conti se han diversificado como contratistas independientes o pequeños sindicatos, utilizando habilidades y/o esquemas utilizados anteriormente para respaldar las operaciones de Conti.
La pandilla de ransomware Black Basta, que comenzó a operar un mes antes de que Conti anunciara su cierre, ha mostrado signos de superposición con sus tácticas, técnicas y procedimientos (TTP). Los blogs de fuga de datos, los sitios de pago, los portales de recuperación, las comunicaciones con las víctimas y los métodos de negociación de Black Basta tienen similitudes con las operaciones de Conti. A pesar de esas similitudes, no podemos confirmar completamente que Black Basta sea únicamente un cambio de marca lanzado por ex miembros del grupo Conti.
Otra variante de ransomware que muestra superposición entre sus propias operaciones y Conti es BlackByte. Si bien BlackByte ha estado activo desde agosto de 2021, hay indicios en los TTP del grupo que vinculan a Conti y BlackByte. BlackByte ransomware tiene una capacidad de "gusano" que es similar al predecesor de Conti, Ryuk. Además, BlackByte elimina el volumen de almacenamiento oculto al cambiar su tamaño, que es una técnica que tanto Conti como Ryuk han utilizado anteriormente. Dadas las similitudes, Intel 471 evalúa que BlackByte es posiblemente una operación Conti renombrada creada únicamente para maximizar sus esquemas de extorsión de datos anteriores y brindar a los afiliados una variante de ransomware que se alinea con sus TTP ya establecidos.
Un tercer grupo de ciberdelincuentes que tiene vínculos con ex miembros de Conti es Karakurt, que se posiciona como un grupo RaaS, pero es el principal responsable del robo de datos y los esquemas de extorsión de datos. El grupo Karakurt no encripta archivos o máquinas, pero roba datos y amenaza con publicarlos en la clandestinidad a menos que se reciba el pago de un rescate. El grupo se dirige a grandes organizaciones con ingresos significativos para demandas de rescate elevadas, que van desde los 25 000 USD hasta los 13 millones de USD en criptomonedas.
La evidencia de código abierto sugiere que hay superposiciones significativas entre las intrusiones de Karakurt y las reextorsiones de Conti. Los dos grupos utilizaron el mismo nombre de host del atacante, así como los mismos métodos de exfiltración y acceso remoto. Además, Intel 471 ha observado transferencias de criptomonedas entre billeteras vinculadas a Karakurt y Conti.
¿Quién quiere una pareja?
Intel 471 informó anteriormente que los afiliados y gerentes del grupo Conti cooperaron con los equipos de ransomware LockBit 2.0, Maze y Ryuk. En mayo de 2022, los actores de amenazas asociados a Conti supuestamente forjaron alianzas con otros programas RaaS activos: ALPHV, también conocido como BlackCat; AvosLocker; Colmena; y HelloKitty, también conocido como FiveHands. Es probable que estos actores ahora implementen estas variantes de ransomware en lugar de las versiones de Conti. Además, otros actores podrían usar el código fuente de Conti filtrado para compilar su propio casillero y descifrador de ransomware, o incorporar su propio desarrollo en uno de los otros esquemas de ransomware activos mencionados anteriormente. Evaluamos que los operadores de Conti aportarán sus habilidades a otros grupos de RaaS para distanciarse de la postura prorrusa percibida de Conti, con la lógica de que las empresas tendrán más probabilidades de pagar rescates a los grupos.que no caen bajo las sanciones de EE.UU.
Ido (pero no realmente)
Los ContiLeaks fueron un golpe mortal para el grupo Conti, exponiendo suficiente información para hacer insostenible la operación continua del grupo. Sin embargo, incluso con las filtraciones, Conti tomó medidas que permitieron que el grupo de ransomware siguiera siendo resistente y continuara con partes de su operación. Intel 471 cree que es muy probable que los miembros más prolíficos del grupo continúen operando, realizando con éxito actividades cibernéticas ilícitas. Además, una vez que se disipe la atención negativa de los medios, es probable que los operadores de Conti busquen reagruparse en una organización similar a la estructura que alguna vez tuvo.
Hasta que eso suceda, esperamos que los actores de Conti incorporen sus propios TTP a otras operaciones de ransomware que hemos enumerado anteriormente o recurran a negocios clandestinos heredados.
Comments