Conti siguió de cerca a otros grupos de ransomware y tomó prestadas algunas de sus técnicas y mejores prácticas para sus propias operaciones.
Los desarrolladores de software a menudo dependen del conocimiento colectivo de la industria para construir sus productos. Ya sea a través de la ingeniería inversa, la caza furtiva de talentos o la clonación directa de cosas, los desarrolladores a menudo se basan en este conocimiento colectivo para crear sistemas operativos, servicios de redes sociales, aplicaciones de mensajería o muchos otros tipos de software.
Las pandillas de ransomware aparentemente no son diferentes. Gracias a Conti Leaks, los investigadores de Intel 471 encontraron evidencia de que el grupo de ransomware Conti vigilaba de cerca a otros grupos de ransomware y tomó prestadas algunas de sus técnicas y mejores prácticas para sus propias operaciones. Además, Intel 471 también observó a los afiliados y gerentes del grupo Conti cooperando con otras pandillas, que incluían a los equipos LockBit, Maze y Ryuk.
Desde la reelaboración de los algoritmos de encriptación hasta la copia de secciones de notas de rescate y el uso de desarrolladores que trabajaron en varios tipos diferentes de ransomware, Intel 471 descubrió que las operaciones de Conti se basaban en información obtenida de la competencia.
Ryuk
Las cepas de ransomware Conti y Ryuk se han atribuido ampliamente al mismo grupo, con Ryuk probablemente sirviendo como predecesor de Conti.
La metamorfosis de esta cepa se ha debatido durante algún tiempo. Algunas investigaciones plantean la hipótesis de que los operadores de ransomware Ryuk inicialmente se unieron al equipo de Conti como su propia división para usar TrickBot para distribuir Ryuk, mientras que otros creen que Conti fue solo una reelaboración de Ryuk.
Sin importar cómo ocurrió la metamorfosis, está claro en los chats de Conti Leaks que los operativos de alto nivel de Conti tenían acceso directo a los actores que estaban detrás de Ryuk. Los investigadores de Intel 471 encontraron conversaciones vinculadas a uno de los altos directivos de Conti que contenían múltiples referencias al grupo detrás de Ryuk.
Por ejemplo, el 23 de junio de 2020, el gerente sénior analizó un artículo de Bleeping Computer en el que los investigadores señalaron la desaceleración de las operaciones de la banda de ransomware Ryuk. El gerente le dijo a otro asociado importante que las operaciones de la pandilla Ryuk pronto volverían a la normalidad (Nota del editor: se cambiaron los identificadores para enmascarar las identidades verdaderas ):
El 16 de julio de 2020, los dos actores revelaron sus planes de usar el dinero obtenido de las campañas de ransomware Ryuk para cubrir el alquiler y otros gastos (traducido del ruso):
El 26 de agosto de 2020, los dos actores discutieron cuestiones de compensación y contratación relacionadas con el equipo de Ryuk (traducido del ruso):
Estos chats, entre otros, muestran que los gerentes de alto nivel de Conti tenían conocimiento sobre las operaciones del ransomware Ryuk y probablemente tenían acceso directo a los actores de amenazas que lo usaban.
Laberinto
Los investigadores de Intel 471 encontraron chats que revelaron que el presunto codificador de Conti afirmaba haber copiado características del ransomware Maze mientras desarrollaba Conti.
El 17 de julio de 2020, el desarrollador principal tuvo una conversación con el gerente senior y afirmó haber cambiado el algoritmo criptográfico de Conti del cifrado de bloque AES-256 al cifrado de flujo ChaCha20, lo que aumentó la velocidad de cifrado:
El 8 de julio de 2020, otro desarrollador importante se comunicó con el gerente sénior y afirmó que un desarrollador del ransomware Maze proporcionó acceso al panel administrativo del grupo.
También a principios de julio de 2020, los miembros del grupo Conti revelaron que usaron el ransomware Maze como un recurso provisional mientras Conti estaba en desarrollo. (traducido del ruso):
Unas semanas más tarde, Conti estaba en uso constante y se convirtió en una de las variedades de ransomware más activas en la segunda mitad del año.
BloqueoBit 2.0
Nuestros investigadores descubrieron que en noviembre de 2021, dos gerentes de Conti de alto nivel discutieron una asociación con LockBit 2.0. Aparentemente, los dos gerentes inicialmente no estuvieron de acuerdo con los detalles de la sociedad, y luego lo aclararon en una conversación filtrada:
Esta conversación se alinea con lo que compartió un representante de LockBit 2.0 en un foro clandestino en abril de 2022, donde admitieron que habían estado en contacto con representantes de Conti principalmente debido a su interés en usar TrickBot.
Taquilla Ragnar
El 27 de septiembre de 2021, el líder del equipo de inteligencia de fuente abierta (OSINT) de Conti tuvo una conversación que reveló que actualizó la nota de rescate del grupo copiando una parte del texto de la nota de rescate de Ragnar Locker.
Aquí está la comparación de lo que las víctimas obtendrían de cada nota de rescate.
Las pandillas de ransomware no operan en el vacío. Si bien cada pandilla quiere ganar la mayor cantidad de dinero posible, existe un nivel de cooperación y asociación que cada pandilla usa para, en última instancia, aumentar sus ganancias ilícitas. Si bien las empresas legítimas también están impulsadas por las ganancias, a menudo crearán asociaciones o colaborarán entre sí como una forma de tener éxito. Dadas todas las otras formas en que las pandillas de ransomware han seguido un modelo comercial legítimo, no debería sorprender que lleguen a acuerdos o se apoyen entre sí para ganar la mayor cantidad de dinero posible.
留言