Los investigadores de Intel 471 han reconstruido el funcionamiento interno de #Conti y han obtenido una mayor comprensión de cómo opera la infame banda de ransomware.
Exploran plataformas de inteligencia comercial para encontrar nuevos prospectos. Deciden si centrarse en grandes empresas multinacionales o en pequeñas y medianas empresas. Encuentran a la persona adecuada para contactar en la organización. Desarrollan un guión que proporcione información que se necesita críticamente para el éxito.
El escenario anterior es uno que puede parecer familiar para cualquiera que trabaje en ventas. Sin embargo, este conjunto de acciones también ha sido adoptado por organizaciones que ganan dinero por medios menos convencionales, en particular los delincuentes responsables de los ataques de ransomware.
Debido en parte a la filtración de información vinculada al grupo de ransomware Conti, Intel 471 pudo reconstruir el funcionamiento interno del notorio sindicato criminal. Con esta información, los investigadores pudieron comprender cómo Conti realizaba sus acciones, que a menudo reflejaban los procesos utilizados por innumerables empresas legítimas.
Intel 471 descubrió comunicaciones vinculadas a una división de Conti que tenía su propia misión dedicada. Este equipo fue responsable de recopilar información sobre los objetivos de los ataques en curso y futuros, redactar scripts de phishing que se usaron por teléfono y enviaron por correo electrónico, y aplicaron múltiples formas de presión en el curso de las negociaciones de ransomware.
El equipo tuvo acceso a varias herramientas de inteligencia de código abierto (OSINT) e inteligencia comercial, así como a un “experto” legal que brindó asesoramiento sobre cómo amenazar a las víctimas con litigios o denuncias oficiales que se enviarían a las autoridades gubernamentales. En los chats encontrados por los investigadores de Intel 471, algunos miembros del equipo no sabían que estaban trabajando para delincuentes, sino que creían que trabajaban para una empresa que brindaba inteligencia competitiva a su base de clientes.
¡Trabajo en equipo!
La división, conocida dentro de Conti como el "Equipo de Bomberos", comenzó en julio de 2021 como una forma en que la pandilla inventaba historias de tapadera para llamadas telefónicas de phishing al personal objetivo, así como cartas aleatorias de spam a posibles víctimas.
Para noviembre de 2021, el equipo constaba de 10 personas, que prepararon informes operativos y de ingresos sobre objetivos potenciales. El líder del equipo supuestamente ganaba US $3000 por mes, mientras que a los miembros se les pagaba US $2000 por mes. Además de su salario, los miembros del equipo también recibieron un recorte del uno por ciento de cualquier rescate que ayudaron a negociar. Si bien los recortes de rescate se dispersaron a través de criptomonedas, algunos salarios se pagaron a través de tarjetas bancarias prepagas.
A pesar de que inicialmente se le puso de pie para hacer un reconocimiento de los objetivos futuros, el equipo comenzó las negociaciones de ransomware a medida que se incorporaban más miembros.
Voy a necesitar esos informes de TPS... lo antes posible.
Los informes elaborados por el equipo contenían información general sobre empresas específicas que incluían operaciones e ingresos. Sin embargo, el equipo se centró en gran medida en el personal del objetivo. Los informes debían incluir números de teléfono, direcciones de correo electrónico y cuentas de redes sociales de la dirección de la empresa, empleados de nivel medio y personal de tecnología de la información. Los líderes solicitaron información de contacto de al menos 20 miembros del personal por informe, y alentaron a centrarse en las empleadas.
Algunas personas también recibieron la tarea de recopilar información de código abierto sobre la infraestructura de red de un objetivo siguiendo instrucciones que incluían:
Dominios de internet
Datos de WHOIS como notaciones de IP, registrador de dominio, edad y quién compró el dominio.
Subdominios, con direcciones IP si es posible
Certificados SSL en formato sin procesar, puertos TCP abiertos y vulnerabilidades encontradas usando herramientas OSINT
“Recuerde, cualquier información sobre la empresa puede ser útil para su competidor (nuestro cliente), por lo tanto, no desestime ningún matiz que pueda parecer insignificante a primera vista. ¡Necesitamos TODO!”, publicó un líder de equipo en un chat en ruso descubierto por los investigadores de Intel 471.
Aparentemente, el equipo utilizó varias herramientas y servicios basados en suscripción para recopilar la información requerida. Los más mencionados incluyen la plataforma de información de contacto SignalHire, la herramienta SpiderFoot OSINT y el motor de búsqueda Shodan. Otro miembro del equipo contratado en noviembre de 2021 aparentemente también tenía acceso a una versión paga de la plataforma de inteligencia empresarial ZoomInfo.
Empresas que hicieron el corte
En las primeras etapas de creación de la división, los líderes de alto nivel de Conti solicitaron informes preliminares sobre una variedad de empresas de la industria financiera y de tecnología de alto perfil. Sin embargo, un mes después, el equipo cambió de dirección y se centró en organizaciones de las industrias aeroespacial, química, de defensa, energética, hotelera y de equipos médicos, en particular aquellas con ingresos anuales de 500 millones de dólares estadounidenses a 5 mil millones de dólares estadounidenses.
A medida que los afiliados lanzaban ataques, las asignaciones de reconocimiento cambiaban. Los actores de otras partes del grupo le dijeron al equipo que buscara información sobre clínicas dentales e historias en línea, ya que se consideraba que eran los "mejores" objetivos. También se dio preferencia a las empresas de seguros, legales y logísticas.
Volviendo a los entregables
El líder del Fire Team tomó la información recopilada en los informes y la usó para varias negociaciones de ransomware, a menudo colaborando con otras personas que trabajan dentro del sindicato. Algunos de estos actores gestionaron llamadas a víctimas de Conti y objetivos potenciales, mientras que otros se involucraron en conversaciones en curso y dejaron mensajes para las víctimas, incluso si no iniciaron el proceso de negociación. Además, un supuesto "abogado" familiarizado con la legislación estadounidense y europea buscó formas adicionales de presionar a las empresas pirateadas con amenazas de litigio por parte de clientes o empleados, o quejas oficiales que se enviarían a las autoridades gubernamentales. Este conjunto de actores también tendría conversaciones paralelas sobre víctimas de ransomware, centradas principalmente en los datos que se publicarían en el blog de nombre y vergüenza de Conti de vez en cuando.
En el transcurso de las conversaciones que observaron los investigadores de Intel 471, otros actores dieron retroalimentación al Fire Team sobre qué tipos de empresas debería reconocer en el futuro. Un actor mencionó específicamente que tenían problemas para convencer a los empleados de JP MorganChase por teléfono para que instalaran malware. A su vez, el actor sugirió apuntar a empresas más pequeñas con políticas de seguridad menos estrictas.
Ningún trabajo es perfecto
Incluso los sindicatos criminales no pueden evitar la política de oficina. A pesar de la estructura establecida por Conti, los miembros del equipo aún se quejaban con sus jefes y entre ellos sobre el tiempo dedicado al trabajo y la cantidad de dinero que ganaba cada miembro. Un miembro del equipo que recibió el 0,5% de los pagos de rescate a menudo afirmó tener una carga de trabajo mucho mayor en comparación con el líder del equipo y se quejó de ser explotado. El líder del equipo a menudo llamaba a este actor "codicioso" y buscaba activamente darle más trabajo a esta persona y pagarle menos.
Ransomware, inc.
Uno de los mayores misterios durante años cuando se hablaba de ransomware era cómo estos grupos criminales realizaban sus operaciones. Con las filtraciones de Conti, la comunidad de seguridad de la información ahora tiene la mejor visión que jamás haya tenido de lo que hace funcionar a estos grupos criminales. Como muestra el análisis de Intel 471, estos grupos están configurados para cometer delitos como si fueran un negocio legítimo. Hay divisiones dedicadas a examinar cada faceta de un objetivo potencial, sin importar el tamaño, con la esperanza de que la información pueda ayudarlos a obtener más dinero después del ataque.
El estereotipo de hombres jóvenes en un sótano codificando su camino hacia la delincuencia internacional es lamentablemente inexacto. Los grupos de ransomware como servicio operan como entidades corporativas, con nómina, objetivos de ingresos y bonificaciones salariales en sus operaciones.
Al comprender su funcionamiento interno, los equipos de seguridad pueden ajustar mejor sus modelos de amenazas y tomar las medidas necesarias para asegurarse de que las medidas de seguridad hagan inútiles los esfuerzos de reconocimiento similares.
Comments