Seguridad

Conti Leaks, día a día de una operación de ransomware

Tras el leak de los chats del grupo de ransomware Conti, Brian Krebs ha publicado en su sitio un análisis de la información más jugosa que se extrae de ellos. Nos hacemos eco aquí de dicha información, recomendando encarecidamente la lectura de los artículos originales del autor.

Desmantelamiento de Trickbot y recuperación de Conti

En septiembre de 2022, la Agencia Nacional de Seguridad (NSA) comenzó una operación a gran escala para desmantelar la botnet Trickbot. Esta red ha sido usada por Conti, entre otros, para propagar sus ataques de ransomware.

Se consiguió por parte de la agencia americana tomar control de la red, desconectando los nodos de los servidores usados para su control. Los chats del grupo Conti desvelan información al respecto de esta acción por parte de la NSA.

Uno de los líderes de Conti, identificado con el pseudónimo «Hof», comentaba acerca del sabotaje de la red. Según su análisis, la agencia americana debía tener acceso al código fuente del bot o haberlo obtenido mediante ingeniería inversa. Se suministró una configuración a los bot de tal manera que seguían funcionando pero sin realizar ninguna de las acciones para las que estaban diseñados. Y además se impedía que se repararan automáticamente o que descargasen una actualización nueva que cambiase la configuración suministrada.

Desgraciadamente tras varias semanas el grupo Conti consiguió rehacer su infraestructura de malware y decidió contraatacar infectando 428 hospitales en los Estados Unidos, en un intento por sembrar el pánico. Cómo consecuencia de dicho ataque el FBI y el departamento de Seguridad Nacional se vieron obligados a tener una conferencia urgente con la industria médica para atajar la inminente amenaza.

La colaboración de Rusia y la caída de REvil

Quedan constancia en los chats filtrados por ContiLeaks de la petición de colaboración del FBI a las autoridades rusas. Al parecer el objetivo de la agencia americana era conseguir la detención de los delincuentes detrás de la botnet Trickbot. Sin embargo según se desprende de las conversaciones internas del grupo, las autoridades rusas no tenían intenciones reales de colaborar.

En primera instancia la investigación fue desechada y finalmente se reactivó. Sin embargo, al reactivarse, el objetivo de la misma cambió hacia el grupo de malware REvil, principal competidor de Conti. En enero de este mismo año, el gobierno ruso anunciaba el arresto de 14 personas relacionadas con esta banda. Según las autoridades, esta operación se había llevado a cabo en respuesta a la petición de los oficiales norteamericanos pero, como vemos, esto no se ajusta del todo a la verdad.

Estructura y gestión interna de Conti

Los chats filtrados del grupo Conti muestran bastante información acerca del funcionamiento interno del grupo. A nadie le sorprende que, dada la magnitud de las operaciones que llevan a cabo, su estructura se asemeje mucho a la de cualquier empresa de mediano tamaño.

Se desprende de los chats la existencia de un departamento de recursos humanos, encargados de entrevistar a posibles candidatos a ingresar a la banda. Programadores destinados a crear código malicioso. Testers para verificar y mejorar el funcionamiento del malware contra herramientas de seguridad. Administradores de sistemas encargados de mantener los sistemas internos de la compañía y ayudar a desmantelar los de las víctimas. Especialistas en ingeniería inversa, con la función de encontrar vulnerabilidades en software comercial. Y finalmente especialistas en tests de penetración, constituyendo la primera línea de ataque contra los equipos de seguridad de las compañías objetivo.

Según se desprende de los chats, se estaría ofreciendo un sueldo base de 2.000 dólares para recién contratados, pero habría empleados con salarios en un rango entre los cinco y los diez mil dólares, dependiendo de su productividad. A cada trabajador se le asignaría una semana de trabajo de 5 días, estando las semanas distribuidas de tal manera que hubiese un personal mínimo durante las 24 horas del día, para atender necesidades de mantenimiento de la botnet o negociaciones iniciadas con víctimas del ransomware.

A pesar de que Conti es una banda con alto impacto y mucha efectividad, del análisis de las conversaciones internas se desprende un cierto aire de desorganización y falta de coordinación internas, llegando a darse el caso de la pérdida de nodos de su botnet debido a no localizar recursos necesarios en monederos virtuales en previsión de pagos para mantener VPNs o servidores necesarios para la continuidad de sus operaciones.

Herramientas de Osint

Según el reporte de la firma Chainalysis, los beneficios del grupo en 2021 estarían en torno a los 180 millones de dólares. De este modo, Conti es con diferencia el grupo de ransomware más exitoso en activo. Los chats filtrados permiten estimar que el número de empleados de la banda fluctúa entre los 65 y los 100 empleados. La inversión en herramientas de seguridad y antivirus es muy elevada. Estas son usadas no sólo para tests de detección de su ransomware, sino también cómo medida de protección interna.

gráfica de ganancias de grupos de ransomware
Ganacias estimadas de las bandas de ransomware. Fuente Chainalysis

Además se registran conversaciones sobre la vigilancia que se impone a los administradores, validando la actividad de los mismos en los servidores internos. Así se verifica que no se estén realizando operaciones que puedan poner en peligro la continuidad o seguridad de la operación. Esto provoca no pocos roces entre los distintos miembros de la banda.

La inversión de Conti en herramientas de inteligencia de fuentes abiertas (OSINT) es especialmente notable. Se requieren suscripciones a Crunchbase Pro y Zoominfo, haciendo notar que dichos servicios proporcionan información de gran valor para la banda, como el montante que tienen asegurado múltiples compañías, una estimación de sus ganancias e información de contacto de ejecutivos y miembros de sus juntas directivas.

Además, la banda hace uso de múltiples herramientas para determinar las compañías que están detrás de ciertos rangos de IP, si una VPN está ligada a una cierta IP o no. Esto es crucial para sus operaciones, dado que la red de botnet de la banda accede a un gran número de sistemas, por lo que necesita priorizar cuales de estos están situados dentro de la red de grandes corporaciones.

Herramientas de pentesting y contactos varios

También se extrae de los chats de Conti la adquisición de una licencia de Cobalt Strike. Esta herramienta comercial para tests de penetración sólo se vende a determinadas empresas bajo estrictos criterios. Según se desprende de la información examinada el coste de la adquisición de la licencia ascendería los 60.000 dólares. La mitad de los cuales cubrirían el precio de la herramienta mientras que el resto se destinarían a una compañía legítima que realizaría la compra.

Además se ha encontrado información de pago a un periodista y empleados de firmas que se dedican a la recuperación de sistemas tras un ataque de ransomware. Así, Conti contaría con cierta influencia en los medios para poner presión sobre las víctimas y forzar el pago. Los empleados dedicados a la recuperación actuarían cómo negociadores entre Conti y las empresas víctimas. La banda tendría entonces cierta seguridad de que está sacando todo el jugo posible a la empresa extorsionada, al tener un contacto interno en nómina.

Conti y la fiebre crypto

Las grandes cantidades de dinero que mueve la banda Conti le permite realizar acciones que no están al alcance de otras, cómo variar a placer el valor de ciertas criptomonedas. En un interesante chat entre miembros del grupo se habla de una operación masiva de inflado de una criptomoneda que reportaría importantes beneficios a la banda. Aunque no se menciona qué plataforma sería la afectada las fechas parecen concordar con el colapso de la moneda Squid.

También se muestra gran interés por parte de miembros de Conti por la creación de proyectos relacionados con smart contracts. No es nada descabellada esta aproximación, ya existen estudios al respecto sobre el impacto «positivo» que tendrían estos en operaciones de ransomware. Con estos contratos las víctimas pueden verificar que efectivamente recibirán lo acordado si realizan el pago que se les require.

En resumen, vemos que de las filtraciones de ContiLeaks se han obtenidos datos de lo más interesantes acerca de cómo opera internamente la mayor banda de ransomware en activo. Está por ver si lo seguirá siendo después de ver toda su información expuesta, según parece por un analista ucraniano que decidió atacar a la banda después de que esta mostrase públicamente su apoyo al gobierno ruso.

Más información:

https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-iv-cryptocrime/
https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-i-evasion/
https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-ii-the-office/
https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-iii-weaponry/
https://krebsonsecurity.com/wp-content/uploads/2022/03/contistats-768×391.png
https://arxiv.org/pdf/2003.04426.pdf
https://medium.com/reserve-currency/smart-contracts-will-make-ransomware-more-profitable-part-1-a687fc370320
https://gizmodo.com/squid-game-cryptocurrency-scammers-make-off-with-2-1-m-1847972824

La entrada Conti Leaks, día a día de una operación de ransomware se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.