Conti: banda de ransomware que publicó datos de 850 empresas

Group-IB tras los pasos de Conti
Group-IB tras los pasos de Conti

Group-IB ha presentado sus hallazgos sobre ARMattack, una de las campañas  más exitosas de la pandilla de ransomware rusa Conti.

En poco más de un mes, el notorio colectivo ransomware comprometió a más de 40 empresas en todo el mundo.

El ataque más rápido tomó solo tres días según el informe de Group-IB “CONTI ARMADA: THE ARMATTACK CAMPAIGN”.

En dos años, los operadores de ransomware atacaron a más de 850 víctimas, incluidas corporaciones, agencias gubernamentales e incluso un país entero.

La investigación profundiza en la historia y los principales hitos de una de las operaciones de ransomware más agresivas y organizadas.

Conti en accción por Q
Conti en accción por Q

Conti es considerado uno de los grupos de ransomware más exitosos. La existencia de la pandilla salió a la luz por primera vez en febrero de 2020, cuando aparecieron archivos maliciosos con la extensión “.сonti” en el radar de los investigadores del Grupo-IB. Sin embargo, las versiones de prueba iniciales del malware se remontan a noviembre de 2019.

IT CONNECT LATAM
IT CONNECT LATAM
Información de valor para ejecutivos que toman decisiones de negocios

Desde 2020, Conti ha estado dominando la escena del ransomware junto con Maze y Egregor en términos de la cantidad de empresas cuyos datos han sido encriptados. En 2020, Conti publicó datos pertenecientes a 173 víctimas en su sitio de fugas dedicado (DLS). A fines de 2021, Conti se convirtió en uno de los grupos más grandes y agresivos, y publicó datos pertenecientes a 530 empresas en su DLS. En solo cuatro meses en 2022, el grupo publicó información perteneciente a 156 empresas, lo que hace un total de 859 víctimas de DLS en dos años, incluidas 46 en abril de 2022. Se cree que el número real de víctimas es significativamente mayor.

En seguidilla

Conti y sus afiliados atacan con frecuencia y rapidez.

Los expertos de Group-IB analizaron una de las campañas más rápidas y productivas del grupo, cuyo nombre en código es “ARMattack”.

La campaña duró solo alrededor de un mes (del 17 de noviembre al 20 de diciembre de 2021), pero resultó ser extremadamente efectiva.

Los atacantes comprometieron a más de 40 organizaciones en todo el mundo.

La mayoría de los ataques se llevaron a cabo en EE. UU. (37 %), pero la campaña también se extendió por Europa, con víctimas en Alemania (3 %), Suiza (2 %), Países Bajos, España, Francia, República Checa, Suecia y Dinamarca (1% cada uno). El grupo también atacó organizaciones en los Emiratos Árabes Unidos (2%), Argentina e India (1%).

Anatomía de Conti
Anatomía de Conti

Históricamente, las cinco principales industrias a las que Conti se dirige con más frecuencia son la fabricación (14 %), el sector inmobiliario (11,1 %), la logística (8,2 %), los servicios profesionales (7,1 %) y el comercio (5,5 %).

Después de obtener acceso a la infraestructura de una empresa, los actores de amenazas extraen documentos específicos.

La mayoría de las veces para determinar con qué organización están tratando y buscan archivos que contienen contraseñas (tanto en texto sin formato como cifradas).

Por último, después de adquirir todos los privilegios necesarios y obtener acceso a todos los dispositivos que les interesan, los piratas informáticos implementan ransomware en todos los dispositivos y lo ejecutan.

Según el equipo de inteligencia de amenazas de Group-IB, el ataque más rápido de la pandilla se llevó a cabo en exactamente tres días, desde el acceso inicial hasta el cifrado de datos.

Group-IB analizó por primera vez las “horas de trabajo” de Conti.

Lo más probable es que los miembros del grupo estén ubicados en diferentes zonas horarias; sin embargo, el horario muestra su alta eficiencia:

En promedio, Conti “trabaja” 14 horas al día sin vacaciones (excepto las “vacaciones de Año Nuevo”) y los fines de semana.

El grupo comienza a trabajar más cerca del mediodía (GMT+3) y su actividad declina solo después de las 9:00 p. m.

La geografía de los ataques de Conti es vasta pero no incluye a Rusia.

El grupo se adhiere claramente a la regla tácita entre los ciberdelincuentes de habla rusa: no atacar a las empresas rusas.

La mayoría de los ataques ocurren en Estados Unidos (58,4 %), seguido de Canadá (7 %), Reino Unido (6,6 %), Alemania (5,8 %), Francia (3,9 %) e Italia (3,1 %).

Otra razón para no apuntar a las empresas rusas es que los miembros clave de Conti se refieren a sí mismos como “patriotas”.

Este hecho fue la causa de un “conflicto interno” en el grupo en febrero de 2022, que resultó en la filtración en línea de parte de la valiosa información de Conti.

Los datos publicados incluían registros de chat privados, los servidores que usan, una lista de víctimas y detalles de las billeteras de Bitcoin, que almacenaron más de 65 000 BTC en total.

Los chats filtrados revelaron que el grupo había enfrentado serias dificultades financieras y que su jefe había pasado desapercibido.

Sin embargo, sus miembros estaban completamente preparados para reiniciar el proyecto después de 2 a 3 meses.

Conti
Conti

A pesar de la “puñalada por la espalda” y la mayor atención de las fuerzas del orden, el apetito de Conti siguió aumentando. Atacaron no solo a las grandes empresas, sino también a países enteros. La “guerra cibernética” de Conti contra Costa Rica en abril de 2022 llevó a que se declarara el estado de emergencia.

Programa de incentivos

Conti ha trabajado en estrecha colaboración con otros operadores de ransomware como Ryuk, Netwalker, LockBit y Laberinto.

 

Incluso probaron el ransomware de Maze, le aplicaron ingeniería inversa y, por lo tanto, mejoraron significativamente el suyo propio.

Un análisis de la campaña ARMattack reveló que el arsenal del grupo incluía no solo las herramientas de Windows descritas anteriormente, sino también el ransomware de Linux: Conti y Hive.

Dicho esto, el grupo tiende a crear herramientas únicas sin reutilizar fragmentos de código. De esta forma, cuando se compare, el código de sus herramientas no ayudará a identificar patrones comunes. Antes de que se filtraran los registros de chat, los investigadores de seguridad cibernética solo podían suponer que algunos programas afiliados de RaaS (Ransomware-as-a-service) eran, de hecho, divisiones de Conti. Al mismo tiempo, la interacción fue extensa. A veces, Conti usaba el acceso a la red de otros corredores de acceso inicial, otras veces la pandilla compartía su propio acceso por un modesto 20% de los ingresos.

Al igual que una empresa de TI legítima, Conti tiene sus propios departamentos de RRHH, I+D y OSINT. Hay líderes de equipo, pagos regulares de salarios y un programa de incentivos.

Una de las características distintivas de Conti es el uso de nuevas vulnerabilidades, lo que ayuda al grupo a obtener acceso inicial.

Por ejemplo, se vio a Conti explotando las vulnerabilidades recientes CVE-2021-44228, CVE-2021-45046 y CVE-2021-45105 en el módulo log4j.

Menos de una semana después, Conti aprovechó estas vulnerabilidades para atacar los servidores vCenter.

Los registros de chat filtrados también mostraron que el grupo monitorea cuidadosamente las nuevas vulnerabilidades.

Una de las tareas del CEO de Conti al equipo técnico fue monitorear las actualizaciones de Windows y analizar los cambios realizados con los nuevos parches.

Lo que una vez más destaca la necesidad de instalar las actualizaciones lo antes posible.

Además, la tripulación de Conti incluye especialistas con experiencia en el descubrimiento de los días cero.

“El aumento de la actividad de Conti y la filtración de datos sugieren que el ransomware ya no es un juego entre desarrolladores de malware promedio.

Sino una industria RaaS ilícita que da trabajo a cientos de ciberdelincuentes en todo el mundo con diversas especializaciones”.

Aseguró Ivan Pisarev, jefe del equipo de análisis dinámico de malware en Departamento de inteligencia de amenazas de Group-IB.

“En esta industria, Conti es un jugador notorio que de hecho ha creado una “compañía de TI” cuyo objetivo es extorsionar grandes sumas.

Es difícil predecir qué sucederá con Conti en el futuro: si seguirá funcionando después de un cambio de marca a gran escala o si se dividirá en subproyectos más pequeños.

Está claro, sin embargo, que el grupo continuará sus operaciones, ya sea por sí solo o con la ayuda de sus proyectos “subsidiarios”.

Como siempre, el informe analítico de Group-IB titulado “CONTI ARMADA: THE ARMATTACK CAMPAIGN” brinda a las empresas y especialistas técnicos indicadores de compromiso e información sobre las técnicas.

También sobre tácticas y herramientas de Conti asignadas a la matriz MITRE ATT&CK.

 

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

Lea más en

Deepfakes 2022: ¿Ver para creer?

Anywhere Workspace: suma seguridad inteligente 2022

WootCloud se suma a la cartera de valor 2022 de Netskope

Randori fortalecerá el portafolio 2022 de productos IBM

FortiRecon: la navaja suiza de 2022 para riesgos digitales

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi lorem lacus, rutrum vel volutpat quis, tempus vitae ipsum. Integer in feugiat neque.

Ut in nunc est. Sed rutrum odio sit amet erat pellentesque laoreet. Aliquam id mi in dui lacinia ornare. Sed sagittis ac velit et luctus.

Curabitur lobortis lacus ut lacus cursus egestas. Proin aliquet eleifend augue quis sollicitudin. Pellentesque urna eros, pellentesque nec lacus eget, commodo accumsan leo.

Quisque lacus dui, venenatis quis molestie id, ullamcorper sed diam. Nullam ac sapien urna. Fusce sit amet mattis leo.

Mauris libero urna, lacinia elementum feugiat non, molestie in felis. Donec semper maximus velit, vitae blandit eros hendrerit ut.

Sed non neque vel erat laoreet commodo. Proin a ullamcorper erat. Morbi dui leo, bibendum sed fermentum ac, convallis sed enim.

Proin semper urna vitae metus suscipit, et eleifend diam varius. Sed posuere ut ipsum sit amet tempus.

Nam eros arcu, finibus in nisl vitae, euismod bibendum tellus. Pellentesque magna tortor, fermentum non posuere eu, semper nec augue.

Praesent iaculis ullamcorper est. In hac habitasse platea dictumst. Aenean lobortis vehicula dui, et tincidunt velit lobortis et.

Sed arcu lacus, ullamcorper nec erat a, molestie tincidunt sem. Donec gravida porttitor tellus, quis commodo eros venenatis sit amet.

Etiam semper eu dolor non consectetur. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas.

Suspendisse ullamcorper est non justo tempus mollis. Aliquam in massa tincidunt, interdum est nec, consectetur purus.

Nunc laoreet augue felis, quis tempor massa blandit eget. Donec consectetur turpis sed volutpat laoreet. Mauris scelerisque porta turpis non pulvinar. Sed mollis placerat purus at bibendum.

Proin porta ligula vel pulvinar vestibulum. Quisque ut lacinia justo, in placerat elit. Cras fringilla diam hendrerit ex vehicula, vel iaculis velit convallis.

Cras lectus mauris, eleifend vitae mauris sit amet, finibus pulvinar elit. Integer efficitur id urna quis varius.

Proin justo ex, volutpat in purus eget, vulputate pharetra nisi. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas.

Duis tempor, ex vitae sollicitudin lobortis, nisi dui facilisis est, sed varius nisl quam quis metus. Phasellus eget dui velit.

Aenean ac metus sed purus faucibus mattis ac sit amet velit. Aenean lectus velit, varius eu finibus quis, ultricies finibus metus.

Sed laoreet nunc at eros rutrum pellentesque. Nunc eu velit vestibulum, tristique velit vel, pulvinar tellus. Fusce sodales arcu dolor. Nulla placerat tortor a leo tempus, eget fermentum augue laoreet.

Pellentesque nec mauris at lorem sollicitudin vehicula. Nunc fermentum ligula id ligula porta, ac elementum sapien pulvinar.

Morbi hendrerit eleifend finibus. Maecenas libero leo, fringilla suscipit tortor sed, blandit molestie urna.

In consectetur neque quam, sit amet viverra ligula imperdiet commodo. Praesent ultrices leo at nisi aliquet volutpat.

Duis justo erat, efficitur eget ullamcorper sed, posuere non nisi. Etiam fermentum venenatis fermentum.

Curabitur et justo eu urna pharetra aliquam sit amet eu quam. Suspendisse nulla velit, congue non pulvinar in, tincidunt nec est.

Pellentesque tincidunt enim augue. Duis arcu est, posuere sit amet lorem sed, volutpat blandit nunc.

Nunc consequat orci sit amet orci malesuada, nec iaculis lacus vulputate. Proin fringilla egestas maximus.

Pellentesque nisl diam, aliquet eget accumsan vel, venenatis ut lectus. Aenean in tellus mattis, scelerisque nibh ac, placerat risus.

Maecenas scelerisque massa a velit viverra, id semper augue vestibulum.

Praesent mauris magna, blandit eu sagittis eget, dapibus sit amet est. Integer faucibus justo nibh, sed semper lorem venenatis nec.

Etiam faucibus, odio vel gravida vehicula, mi elit pellentesque purus, ac convallis purus mauris et magna.

Quisque vehicula quam nulla, a tempus justo elementum nec. Suspendisse ultricies nibh eget neque rutrum, non dapibus tortor scelerisque.

Duis ut egestas augue. Vivamus at tellus ac justo blandit condimentum eu vel leo. Maecenas gravida maximus quam nec dignissim.

Nulla ut tellus porta, fermentum est vel, aliquet nulla. Nulla porta a dui eu ornare. Nullam aliquet faucibus efficitur.

Proin vehicula, risus at eleifend pellentesque, dolor eros posuere nibh, non posuere sem lacus quis augue. Integer at ex lacus.

Nulla laoreet egestas imperdiet. Curabitur ac venenatis erat, eget maximus tortor. Vestibulum ante ipsum primis in faucibus orci luctus et ultrices posuere cubilia curae; Praesent gravida et justo non ornare.

Nam pulvinar eros ornare tortor dapibus, sit amet condimentum urna posuere. Donec auctor fermentum ligula nec malesuada. Pellentesque ante nunc, dignissim eget metus egestas, congue dignissim leo.

Etiam suscipit convallis interdum. Ut at ligula lorem. Integer sit amet sapien tincidunt, venenatis felis et, viverra elit.

Interdum et malesuada fames ac ante ipsum primis in faucibus. Maecenas ultricies lorem nec mi porttitor vehicula. Sed ac ligula massa.

Curabitur pellentesque ligula tellus, vitae venenatis mauris ullamcorper ac. Donec varius quis risus ullamcorper malesuada.

Proin at volutpat urna. Integer mi ligula, blandit eleifend iaculis at, tincidunt vel nisi. Nam cursus enim convallis tortor luctus, sed tempor mi luctus.

Fusce nulla metus, dapibus non egestas nec, ornare non lorem. Proin non sem a sem tincidunt commodo.

Suspendisse nec elementum tellus, vitae ultricies diam. Sed molestie libero mauris, pulvinar ultrices nisl egestas id. Aliquam luctus tincidunt egestas.

Vivamus ut turpis nec felis efficitur efficitur bibendum vel massa. Interdum et malesuada fames ac ante ipsum primis in faucibus.

Donec sapien erat, finibus blandit odio at, aliquam sagittis ex. Duis sed mauris maximus, egestas mauris a, cursus purus. Donec tempor ex id magna volutpat, ut semper elit malesuada.

Nullam vel dictum ligula. Nunc nec quam nec est interdum eleifend. Suspendisse porta pharetra mauris, eget gravida augue ornare in.

Pellentesque quis eleifend ex. Donec aliquam lobortis imperdiet. Interdum et malesuada fames ac ante ipsum primis in faucibus.

Nam ac maximus dui, ut ullamcorper ante. Phasellus at semper tortor. In hac habitasse platea dictumst.

Praesent est erat, faucibus sed elit eget, lobortis faucibus tellus. Etiam nulla metus, gravida at commodo eget, bibendum sodales magna. Sed sed condimentum arcu. Sed sodales pharetra tincidunt.

Duis laoreet lectus nec facilisis ornare. Maecenas eleifend semper lobortis. Vestibulum pellentesque non sem at venenatis. Proin mollis efficitur velit vitae lobortis.

In imperdiet sem sit amet luctus egestas. Mauris ac ultricies mi. Praesent ut sem lorem. Maecenas a neque ac ligula blandit rhoncus a vel nulla.

Donec ac pellentesque nulla. Donec justo mi, viverra dignissim tincidunt quis, faucibus ac orci. Ut blandit viverra ipsum a semper. Sed id malesuada purus. Pellentesque molestie dignissim orci, vitae dictum lorem euismod ac.

Suspendisse placerat convallis diam et porta. In hac habitasse platea dictumst. Integer luctus orci sit amet risus rhoncus, ac interdum justo finibus.

Etiam dignissim eros dolor, non suscipit elit rhoncus ut. Nulla quis eleifend metus.

Aenean pellentesque imperdiet nisl. Morbi felis justo, porttitor vitae congue non, venenatis ac arcu.

In facilisis dui nec nunc consequat, a posuere ligula sollicitudin. Nulla tempus eros sapien, nec elementum tortor lobortis ac.

Sed id blandit lorem, vel egestas libero. Ut arcu magna, sollicitudin eu sodales ut, accumsan non leo. Fusce congue tempor tempor.

Nunc lacinia velit eget orci iaculis, in porttitor leo congue. Sed eget luctus libero. Vivamus ut arcu non magna pulvinar sagittis a a nulla.

Phasellus aliquam velit in ullamcorper commodo. Proin sit amet finibus est. Ut luctus vitae quam faucibus dignissim.

Aenean placerat, metus eu pellentesque maximus, dolor augue dapibus diam, quis gravida augue quam in eros. Integer id quam posuere, ultrices velit ac, lacinia justo. Class aptent taciti sociosqu ad litora.

95 / 100