Formas de Ramsonware

La doble extorsión

Como ya hemos visto, el ransomware es uno de los problemas de seguridad más importantes y puede afectar tanto a usuarios domésticos como a empresas. En los comienzos, los cibercriminales usaban el ransomware para cifrar los archivos de la víctima y pedir un rescate para liberarlos. A día de hoy, es cada vez más común lo que se conoce como doble extorsión. ¿Y en qué consiste exactamente?

La historia tradicional del ransomware era la de un código malicioso que cifraba rápidamente archivos con para luego borrarlos si no se pagaba el rescate. Sin embargo, después del ransomware WannaCry y NotPetya durante 2017, las empresas empezaron a invertir en ciberseguridad, poniéndole más énfasis en las copias de seguridad y los procesos de restauración, para que incluso si los archivos fuesen destruidos, las organizaciones tuvieran copias en su lugar y pudieran restaurar fácilmente sus datos.

Pero como era de esperar, los ciberdelincuentes también adaptaron sus técnicas. Ahora, en lugar de simplemente encriptar los archivos, primero exfiltran la información para que si la empresa se niega a pagar, la información puede filtrarse en línea o venderse al mejor postor, es decir, usan adicionalmente lo que se conoce como doxing. 

Así que si una empresa, por ejemplo, que tiene un nuevo producto que aún no ha sacado al mercado, puede ser extorsionada con la intención de filtrar al público la información de dicho producto. Pero no sólo eso, sino que además si entre dicha información van datos de carácter personal, le podría suponer un problema legal a la empresa si no toma las medidas adecuadas, además de por supuesto un ataque a la reputación de la marca. Teniendo en cuenta esto, los cibercriminales empezaron a aprovechar las propias regulaciones de ciberseguridad (CCPA, RGPD, NYSDFS), para que sus víctimas no tuvieran que pagar una fuerte multa de cumplimiento y alentarlas así a guardar silencio ofreciéndoles un rescate menor que la multa.

La doble extorsión es por tanto cifrar los archivos para que no estén accesibles y además, amenazar con hacer pública dicha información cifrada, para forzar a la empresa a que pague el rescate deseado.

Como curiosidad, el primer caso de alto perfil de doble extorsión fue el ransomware Maze a finales de 2019. Además, recientemente se han llegado a dar casos de triple extorsión según Checkpoint, donde los cibercriminales envían correos personalizados a clientes para que paguen el rescate en vez de la empresa o incluso se suman ataques del tipo DDoS o llamadas telefónicas a los socios comerciales. Como ves, ante las medidas, los “malos” siempre están maquinando nuevas técnicas para ganar dinero.

El sitio favorito de los cibercriminales

La DeepWeb o “Internet profundo” está compuesta por todo el contenido de Internet que no es indexado por los motores de búsqueda como Google, Yahoo etc. Engloba toda esa información que está online, pero a la que no puedes acceder de forma pública. Por una parte, pueden tratarse de páginas convencionales que han sido protegidas por un paywall, pero también correos electrónicos guardados en los servidores de nuestro proveedor o archivos guardados en Dropbox . Los sitios con un “Disallow” en el archivo robots.txt o páginas dinámicas que se generan al consultar una base de datos (consultas bancarias o similares) también forman parte de esta red.

En realidad, el concepto que tiene la mayoría de la gente sobre la Deep Web es el concepto de Dark Web. Sin embargo hay que saber diferenciarlas. La Dark Web es ese fragmento de Internet al que sólo se puede acceder mediante aplicaciones específicas. Mientras que la Deep Web supone en torno al 90% del contenido de la World Wide Web, la Dark Web ocuparía únicamente el 0,1% de ella.

Diccionary.com definen a la Dark Web como “la porción de Internet que está intencionalmente oculta a los motores de búsqueda, usa direcciones IP enmascaradas y es accesible sólo con un navegador web especial: parte de la Deep Web”. 

Principalmente la Dark Web suele formarse por páginas que con unos enlaces muy particulares a través de dominios propios como las .onion de TOR o las .i2p de los eepsites de I2P, pero a las que no puedes acceder a no ser que tengas el software necesario para navegar por las Darknets en las que se alojan.

Como la Deep Web suele ser en cierta manera la parte de Internet no indexada por los buscadores comerciales, se cree también que la Dark Web no puede ser indexada por ninguno. Sin embargo, esto no es del todo cierto ya que si es verdad que en Google no encontrarás acceso a ella, existen otros buscadores específicos en los que sí que se puede hacer.

Algunos son accesibles desde la Clearnet, como Onion City, capaces de indexar miles de páginas .onion. También existen otros buscadores dentro de las propias Darknets como not Evil, Torch o una versión de DuckDuckGo. Además, otras herramientas como Onion.to permiten acceder a las Dark Webs de TOR con sólo añadir la terminación .to, al dominio .onion

Por último, se ha mencionado el término Darknet, el cual fue acuñado en 2002 en el documento “The Darknet and the Future of Content Distribution” escrito por cuatro investigadores de Microsoft (Peter Biddle, Paul England, Marcus Peinado y Bryan Willman). En él se refieren a ella como una colección de redes y tecnologías que podría suponer una revolución a la hora de compartir contenido digital. Para explicar este concepto podríamos decir que mientras la Dark Web es todo ese contenido deliberadamente oculto que nos encontramos en Internet, las darknets son esas redes específicas como TOR o I2P que alojan esas páginas. Vamos, que aunque Internet sólo hay uno, la World Wide Web, hay diferentes darknets en sus profundidades ocultando el contenido que compone la Dark Web.

Las más conocidas son la red friend-to-friend Freenet, I2P o Invisible Internet Project con sus Eepsites con extensión .i2p o ZeroNet con sus múltiples servicios. Pero la más popular de todas es TOR, una red de anonimización que tiene también su propia Darknet, y es básicamente a la que suele referirse todo el mundo cuando habla de ellas. Para acceder a esta última se puede usar el propio navegador de TOR o incluso una Kali ejecutando tor por terminal. Por último, resaltar que los enlaces para las diferentes páginas del dominio .onion son dinámicos, es decir cambiantes. Si quieres consultar lo que puedes encontrar en este dominio existe TheHiddenWiki, que es una wiki con los enlaces actualizados.

La Darknet por tanto son las redes ocultas en sí, mientras que Dark Web se puede utilizar para referirse a dos cosas: para referirse al contenido, a las webs oscuras, y para hablar de la cultura que implica. Además, la Darknet o red oscura traducido, puede tener una connotación negativa, lo que no es casualidad, ya que muchas de las Dark Webs que suele haber alojadas en ellas suelen tener fines negativos como son: asesinos a sueldo, anonimato total y habitaciones rojas, sustancias o contenidos ilegales etc.

Sin embargo no todo el mundo acepta esas connotaciones negativas, y muchos piensan en el término “oscuro” de estas redes como un símil de algo que está oculto entre las sombras. Esto se debe a que en las Darknets también hay contenido útil y constructivo, sin olvidar de que pueden servir como vía de escape, comunicación u opinión en algunos países donde el Internet convencional es más controlado y censurado.

También tienes que tener en cuenta que algunas de las cosas más escandalosas que puedes encontrarte en las Dark Webs también las verás en el Internet convencional, como por ejemplo las drogas, ya que se han dado casos donde se ponen a la venta a la vista de todos en plataformas tan comunes como Instagram o Tinder.

Como te podrás imaginar, los cibercriminales usan las Darknets para vender la información filtrada, ransomware u otro tipo de información o contenido que les suministre beneficios en el anonimato.

Conti Desempeño

Compensación y Desempeño

Los miembros del equipo de negociación de Conti (incluidos los especialistas de OSINT) reciben comisiones, calculadas como un porcentaje del monto del rescate pagado que oscila entre el 0,5 % y el 1 %. A los codificadores y algunos de los gerentes se les paga un salario en bitcoin, que se transfiere una o dos veces al mes. Los empleados de Conti no están protegidos por las juntas laborales locales y, por lo tanto, tienen que soportar algunas prácticas de las que están exentos los empleados tecnológicos típicos, como ser multados por bajo rendimiento:

En última instancia, este método resultó no ser lo suficientemente efectivo y la gerencia de Conti tuvo que recurrir a la amenaza más tradicional de despido para motivar a los empleados, como se ve a continuación.

El equipo ofensivo también tiene menos flexibilidad en su tiempo libre. Después de todo, que un miembro del equipo esté disponible o no puede significar la diferencia entre detectar y neutralizar una infracción y avanzar con éxito a la etapa en la que los datos de la víctima se cifran y filtran. Para los miembros de este equipo, acostumbrados a estar siempre de guardia, un simple placer como tener sábado y domingo libres es motivo de celebración:

Aparte de estos golpes de buena fortuna, el equipo ofensivo no puede tomar un descanso. Incluso en el Año Nuevo, que se celebra ampliamente en todos los países de habla rusa y generalmente implica varios días de vacaciones para los empleados, se espera que los miembros de este equipo asuman sus “roles de combate” si es necesario. Otros empleados también están técnicamente de guardia durante estos días, pero está fuertemente implícito que en la práctica están de vacaciones pagadas y no recibirán mensajes de texto de inspección sorpresa de los jefes durante las vacaciones.

Como se ve en el mensaje de Silver más arriba, hay un premio al “empleado del mes” que se extrae del fondo de multas punitivas impuestas a los empleados menos favorecidos de ese mes. La bonificación de premio es igual al 50 % del salario de ese empleado y se puede otorgar a los empleados por nuevas iniciativas útiles que ganan puntos con la gerencia (como inventar un nuevo método de entrega de carga útil) o por un compromiso y persistencia extraordinarios al resolver algún problema específico.

Evidentemente, la gerencia se toma el premio muy en serio: las razones para elegir al ganador no se inventan y los puntos mencionados anteriormente sí importan.

El estilo de gestión varía de un equipo a otro. En algunos casos, el “gran jefe” Stern simplemente envía un mensaje de difusión preguntando al grupo cómo están, en qué proyectos están trabajando y si tienen alguna idea nueva que quieran promover. En otros casos, la gerencia intermedia está involucrada y generalmente exige informes, la mayoría de los cuales lamentablemente no están disponibles para nosotros, ya que se transfieren con OTR o mediante servicios privados compartidos como privnote.

A veces, los líderes de equipo pueden incluso participar en la tradicional tradición corporativa de la Revisión de desempeño, discutiendo al final del año cómo le fue al empleado, qué hicieron bien y cómo pueden mejorar, además de informarles sobre los planes globales de Conti. para el próximo año y recomendar oportunidades de capacitación.

Anonimato, ignorancia y retención

No todos los empleados de Conti saben que son parte de una actividad delictiva, al menos no desde el principio. En una entrevista de trabajo en línea, un gerente le dice a un potencial empleado del equipo de codificación: “aquí todo es anónimo, la dirección principal de la empresa es el software para pentesters”.

Un ejemplo sorprendente es un miembro del grupo conocido por el apodo de “Zulas”, probablemente la persona que desarrolló el backend de Trickbot en el lenguaje de programación Erlang. Zulas es un apasionado de Erlang, ansioso por mostrar ejemplos de sus otros trabajos e incluso menciona su nombre real. Cuando su gerente menciona que su proyecto “trick” (Trickbot) fue visto por “medio mundo”, Zulas no entiende la referencia, llama “lero” al sistema y revela que no tiene idea de qué está haciendo su software y por qué el equipo hace todo lo posible para proteger las identidades de los miembros. Su interlocutor decide no romper su ingenuo corazón y le dice que está trabajando en un backend para un sistema de análisis de anuncios.

Incluso cuando un empleado involuntario finalmente se da cuenta de lo que está construyendo, Conti tiene un plan para retenerlo. El mismo Stern describe brevemente el proceso en otra conversación: el programador podría trabajar en un solo módulo, sin entender el proyecto como un todo; cuando finalmente se dan cuenta, después de muchas horas de trabajo, Conti les ofrece un aumento de sueldo. Stern testifica que, llegados a ese punto, los empleados suelen darse cuenta de que, dado que todo ha ido bien hasta ahora, no tienen que preocuparse por las consecuencias y, por lo tanto, el único incentivo para pasar por la molestia de renunciar a su trabajo son consideraciones puramente morales. Stern parece dar a entender que este método produce buenas tasas de retención, incluso para los empleados que, de otro modo, se habrían negado a ser contratados para trabajar para un sindicato de ciberdelincuentes en primer lugar.

Oficinas

Te puedes imaginar que una empresa como Conti estaría alojada completamente en línea, pero no: el grupo Conti tiene varias oficinas físicas. Estos están a cargo de “Target”, socio de Stern y jefe efectivo de operaciones de la oficina, quien también es responsable del fondo de salarios, el equipo técnico de la oficina, el proceso de contratación de Conti y la capacitación del personal. Durante 2020, las oficinas offline fueron utilizadas principalmente por testers, equipos ofensivos y negociadores. Target menciona 2 oficinas dedicadas a los operadores que están hablando directamente con los representantes de las víctimas. En agosto de 2020, se abrió una oficina adicional para administradores de sistemas y programadores, bajo la supervisión del “Profesor”, quien es responsable de todo el proceso técnico para asegurar la infección de una víctima.

Los mensajes de Rocket.Chat filtrados incluyen las comunicaciones de los miembros del equipo ofensivo que trabajaban en la oficina, lo que indica que probablemente Rocket.Chat estaba instalado en sus dispositivos móviles.

Contrataciones

Todos hemos oído hablar de la escasez de habilidades en tecnología, y el grupo Conti tiene que lidiar con eso como todos los demás. Para mejorar sus probabilidades, optaron por diversificar su grupo inicial de candidatos, así que en lugar de confiar únicamente en el talento clandestino criminal, Conti contrata personal regularmente abusando de los sitios web de contratación legítimos.

HeadHunter y SuperJobs

El recurso principal que suele utilizar Conti HR para la contratación son los servicios de cazatalentos de habla rusa como headhunter. También han usado otros sitios como superjobs, pero en esta última tuvieron menos éxito.

Conti OPSec prohíbe dejar rastros de ofertas de trabajo de desarrollador en dichos sitios web, una regulación aplicada estrictamente por uno de los superiores (Stern). Entonces, para contratar desarrolladores y seguir esta norma, Conti pasa por alto el sistema de trabajo y filtrado de headhunter.ru. Quizás te preguntes el por qué headhunter.ru ofrece tal servicio, pero la respuesta es que no lo hacen. Lo que ocurre es que Conti simplemente compró el software que brinda acceso al conjunto de CV “prestados” sin permiso, lo que parece ser una práctica estándar en el mundo del cibercrimen.

Esta necesidad de interactuar directamente con una enorme lista de CV en lugar de utilizar el filtrado integrado del sitio exacerba aún más la lucha típica de recursos humanos para encontrar candidatos con la experiencia tecnológica relevante. En ocasiones, Conti HR ha expresado francamente su frustración por verse inundado de candidatos irrelevantes:

Una vez que Recursos Humanos localiza a un candidato que podría encajar en alguna vacante dentro de Conti Corp, su CV se anonimiza y se envía al punto de contacto técnico pertinente dentro de la organización. Esto inicia un diálogo engorroso en el que Recursos Humanos actúa como mediador, para asegurarse de que el posible superior del candidato no conozca su identidad. No hace falta decir que este proceso no es a prueba de balas. A veces es posible deducir la identidad del candidato realizando una búsqueda en la web de su experiencia laboral y, a veces, RR. HH. simplemente comete un error y no elimina el nombre.

Uno podría sorprenderse por la composición demográfica de los empleados de Conti. Contrariamente al estereotipo prevaleciente de ciberdelincuentes jóvenes e imprudentes, que tienen la ilusión de ser invencibles y no tienen nada que perder, a Conti también se le acercaron posibles empleados senior. Una de esas personas, que afirmó tener experiencia como desarrollador desde 1980, se presenta de la siguiente manera:

El uso de HeadHunter como herramienta de reclutamiento no se limita a especialistas técnicos. También se usó para reclutar a otros empleados, por ejemplo, para personal en centros de llamadas utilizados en campañas de ingeniería social como BazaarCall. Entrevistar a estos candidatos es responsabilidad de “Derek”, un empleado de recursos humanos de Conti, quien usa Telegram en lugar de chats basados en Tor para esta tarea.

Boca a Boca

Cuando se comunicaban con los empleados, la alta gerencia a menudo argumentaba que trabajar para Conti era el negocio de su vida: altos salarios, tareas interesantes, crecimiento profesional etc. “Stern”, uno de los superiores, incluso ideó un programa de recomendación de empleados para codificadores, donde una recomendación exitosa que dura más de un mes genera una bonificación equivalente al segundo salario del empleado recomendado.

En un caso verdaderamente sobresaliente, un ex miembro del red team curioso hackeó el Jabber del grupo para hablar directamente con Stern. Mientras que en una empresa de tecnología típica tal táctica podría estar mal vista, en el mundo del cibercrimen es evidentemente una hazaña a tener en cuenta y ser respetada:

Foros de Darknet

Aparte de estos métodos poco ortodoxos, Conti también recluta talento de la manera más tradicional, a través de foros clandestinos. A los posibles candidatos se les da primero el identificador de Jabber que usará su entrevistador (como admintest, que manejaría las pruebas para los administradores de sistemas). Si la entrevista fue exitosa, se crea una cuenta permanente para el candidato. Incluso con este método de rutina, Conti HR a veces se volvía creativo: por ejemplo, al buscar miembros del equipo ofensivos y administradores de sistemas, se les ocurrió la idea de “reciclar” una campaña de reclutamiento anterior de un grupo de ransomware rival. Su principal competidor, REvil, había realizado anteriormente un truco publicitario que consistió en depositar un millón de dólares en bitcoins en una cuenta para luego publicar un anuncio de reclutamiento en medio del hilo del foro donde se discutía el depósito. Este anuncio recibió muchas respuestas con detalles de contacto, todos públicos, por lo que Conti HR pudo extraer de este hilo un grupo de candidatos de alta calidad para enviar spam con ofertas de trabajo.

Planes de Futuro

La alta gerencia de Conti busca constantemente nuevas formas de expandir el negocio. Las ideas que surgieron para este propósito van desde simples estafas hasta proyectos paralelos a gran escala. Una de las ideas discutidas fue la creación de un intercambio criptográfico en el propio ecosistema del grupo.

Mango parece apoyar con entusiasmo todas las ideas del jefe y las promueve entre otros miembros del grupo.

Otro proyecto es la “red social darknet” (también conocida como “VK for darknet” o “Carbon Black for hackers”), un proyecto inspirado en Stern y llevado a cabo por Mango, previsto para ser desarrollado como proyecto comercial. En julio de 2021, Conti ya estaba en contacto con un diseñador, que produjo algunas maquetas.

Consecuencia de la fuga de información

Debido a que la filtración continuó después del volcado inicial de datos filtrados, todos tuvimos el privilegio inusual de ver las respuestas a la filtración original. Se vio a los miembros borrando la actividad pasada, eliminando máquinas virtuales de producción y moviéndose a otros canales de comunicación.

Parece que la filtración se sumó a la pila de problemas actuales en Conti. Como vimos en los chats, el gran jefe Stern guardó silencio a mediados de enero, en enero-febrero se observan varios problemas informados con el salario y, finalmente, unos días antes de la filtración, “Frances” en Rocket.Chat les dice a todos tomar un descanso de 2 a 3 meses para reagruparse y reorganizarse debido a la amplia atención del público y la ausencia de los jefes del grupo.

Mientras todo esto sucede, el negocio de Conti sigue operativo, al menos parcialmente. El sitio de fugas de Conti (ContiNews) todavía está activo y se actualiza con nuevas víctimas. Como el proceso de configuración y soporte de la infraestructura de Conti se agiliza, no será un gran problema para Conti configurar sus operaciones desde cero.

En cuanto a los miembros, Conti probablemente perderá algunos. Ciertamente, se espera que los miembros que se sintieron molestos como resultado de la filtración al menos se tomen unas largas vacaciones. Probablemente se irán varios empleados más que se sintieron ofendidos por la forma en que otros miembros hablaron de ellos a sus espaldas, así como aquellos que ya estaban preocupados por los posibles riesgos laborales de trabajar para una operación de ransomware; esta fuga en curso sin duda los asustó.

Habiendo dicho todo eso, con todo el conocimiento, esfuerzo, organización, ingenio y dinero invertido, Conti es simplemente demasiado grande para fallar. A menos que se produzca un arresto generalizado como el que le sucedió a REVil, es muy probable que Conti se levante de nuevo. Si alguno de nosotros tuvo delirios románticos sobre una operación enormemente rentable como Conti siendo dirigida por un grupo pequeño, despistado y apasionado que simplemente está “volando” y podría cansarse de rodar todo este dinero, ahora todos sabemos que no.

Estructura CONTI

Estructura Organizativa

La estructura de Conti es casi una jerarquía organizativa clásica, con líderes de equipo que informan a la alta dirección, pero para su crédito hay muchos casos de diferentes grupos que trabajan directamente entre sí (esto se denomina “flujo de información horizontal”, y es una buena cosa y un signo de salud organizacional, como cualquier thinkfluencer empedernido le dirá felizmente).

Para dar una visión general de cómo funcionan las comunicaciones entre los miembros y los afiliados, etiquetamos a la mayoría de los miembros activos del chat de Jabber con sus ocupaciones profesionales y visualizamos sus comunicaciones. En esta captura, cuanto más saturado es el vínculo entre los miembros más intensa es la comunicación, mostrando así tanto un vínculo vertical entre jefes y subordinados, como un vínculo horizontal entre los miembros que trabajan activamente en proyectos compartidos.

Sin embargo, esto no es de ninguna manera una representación perfecta de la estructura organizacional, ya que las personas están siendo reemplazadas y promovidas todo el tiempo.

Los principales grupos que observamos fueron:

• HR (Recursos Humanos): Responsable de hacer nuevas contrataciones. Esto incluye navegar a través de sitios de búsqueda de empleo de habla rusa, organizar entrevistas en línea y mediar entre el entrevistador y el punto focal técnico relevante. En muchos casos, HR no tenía la autoridad para decidir sobre la compensación ya que, si una entrevista salía bien, el candidato sería remitido a una gerencia superior que le haría una oferta.
• Codificadores: Las célebres personas que mantienen los aspectos básicos del código de malware real, los back-ends del servidor y los paneles web de administración requeridos por las operaciones diarias del grupo Conti. Esto se extiende a muchas herramientas auxiliares utilizadas por el grupo Conti, incluidas TrickBot, Bazaar, Anchor, la infraestructura de C&C y, por supuesto, los propios “casilleros” que cifran los archivos de desafortunadas víctimas.
• Probadores: los encargados de probar varios programas maliciosos contra soluciones de seguridad conocidas para asegurarse de que evitan la detección. Es comprensible que los proveedores de seguridad no estén encantados de vender sus productos al grupo Conti y pro tanto tengan que recurrir a técnicas. En al menos un caso, un tercero tuvo que involucrarse y realizar la compra en nombre de Conti (mientras cobraba una prima considerable), e imaginamos que esto fue una ocurrencia normal.
• Crypters: “Crypting” es la jerga del cibercrimen para lo que algunos de nosotros, los tipos más académicos, llamamos “ofuscación”. Los crypters tienen la tarea de realizar cambios sintácticos en las cargas útiles, los archivos binarios y los scripts para que sean más difíciles de detectar y analizar, al mismo tiempo que conservan su función semántica. Los crypters a menudo trabajaban en estrecha colaboración con los probadores. Las estrategias de crypter podrían parecer buenas en teoría, pero la verdadera prueba era cuando un probador las lanzaba contra un entorno de pruebas hostil.
• SysAdmins: miembros de Conti encargados de configurar la infraestructura de ataque y brindar soporte según sea necesario. Esto incluye todas las tareas que realiza un departamento de TI típico: instalar paneles, mantener servidores, crear servidores proxy, registrar dominios, administrar cuentas y, presumiblemente, decirles a otros miembros de Conti que intenten apagar sus máquinas y volver a encenderlas.
• Ingenieros inversos: los encargados de observar las herramientas existentes para comprender cómo funcionan. Por ejemplo, mientras se construía el casillero Conti a mediados de 2020, su desarrollo fue respaldado por un esfuerzo de ingeniería inversa del ransomware Maze, que en ese momento estaba siendo utilizado por algunos de los afiliados de Conti. Otro ejemplo es un proyecto que invierte el cargador Buer para lanzar un proyecto similar dentro del ecosistema Conti.
• Equipo ofensivo: dado el acceso inicial a una máquina de la víctima, estos miembros de Conti (llamados “hackers” y “pentesters” en comunicaciones) son responsables de la escalada de privilegios y el movimiento lateral, convirtiendo una brecha inicial en una captura completa de la red objetivo. Su objetivo final sería obtener privilegios de administrador de dominio, lo que luego permitiría filtrar y cifrar los datos de la víctima.
• Especialistas OSINT y Personal de Negociación: Una vez que los datos de una víctima se retienen con éxito para obtener un rescate, estos miembros de Conti intervienen para hacer demandas e intentar cerrar un trato. Algunos son especialistas de OSINT que realizan investigaciones sobre la empresa objetivo: el sector en el que opera, sus ingresos anuales, etc., para que la demanda de pago del rescate logre un equilibrio entre lucrativo y realista. Otros miembros hacen la negociación real y actúan como “representantes de servicio al cliente” que operan el chat basado en Tor de Conti. El manejo de “clientes” a menudo implicaría persuadir, hacer amenazas o proporcionar pruebas de que Conti posee los datos extraídos y puede recuperarlos para la víctima o publicarlos, dependiendo de si la víctima paga o no. La gestión del blog de fugas de Conti y la programación de la publicación de los datos de las víctimas en caso de que no se cumpla el plazo para el pago del rescate también son competencia de este departamento.

Si queremos identificar a las principales personas de la organización que desempeñan un papel clave en las comunicaciones del grupo serían como se ve en la siguiente captura:

• Stern: es el Gran Jefe, conocido como líder del grupo tanto internamente como fuera de la organización. Él es quien desarrolla la visión de alto nivel de las operaciones del grupo y las colaboraciones con los afiliados, y administra muchas de las personas y proyectos directa e indirectamente. Stern también paga directamente los salarios de varios miembros de la organización y administra la mayor parte de los gastos. Dependiendo del tiempo, el estilo de gestión de Stern fluctúa ampliamente entre la microgestión con el envío de mensajes de difusión preguntando sobre sus tareas y problemas y las ausencias de varios días.
• Bentley: es un líder técnico del grupo responsable de probar y evadir el malware y las cargas útiles utilizadas por múltiples grupos dentro y fuera de la organización. Bentley administra equipos de encriptadores y evaluadores, trabajando con muchos clientes internos y externos diferentes, y también maneja las preguntas relacionadas con los certificados digitales y las soluciones antivirus de terceros.
• Mango: es el “gestor de preguntas generales del equipo”, resolviendo mayoritariamente las dudas entre los responsables de las campañas de infección y los codificadores. Mango también participa en el proceso de recursos humanos y paga directamente el salario a parte del grupo de trabajo, además de ayudar de manera efectiva a Stern con sus otros proyectos.
• Buza: es un gerente técnico responsable de los codificadores y sus productos, curando el desarrollo de cargadores y bots dentro de múltiples equipos de codificadores.
• Target: es un administrador responsable de los equipos de hackers, su intercomunicación y carga de trabajo. También administra todos los aspectos de todas las oficinas fuera de línea, tanto para piratas informáticos como para operadores, su presupuesto, recursos humanos y comunicación efectiva con otras partes de la organización. También gestiona parte de las tareas relacionadas con las campañas de ingeniería social.
• Veron aka mors: es el punto focal de las operaciones del grupo con Emotet. Veron administra todos los aspectos de las campañas de Emotet, incluida su infraestructura, en estrecha colaboración con los miembros relevantes de Conti.

CONTI

Conti: Una breve aproximación

Su primera aparición fue en octubre de 2019 y opera como RaaS (Ransomware as a Service), es decir, el ransomware se ofrece en foros clandestinos reclutando afiliados que se encargan de distribuirlo a cambio de un porcentaje de los beneficios.

Este ransomware usa la modalidad de la doble extorsión, es decir, incluye al encriptado la técnica del doxing, que consiste en exfiltrar información del afectado antes de ser cifrada y amenazar a las víctimas con publicarla si no se paga el rescate. Esto aumenta la presión sobre los afectados, ya que no sólo recoge el hecho de que hay que intentar recuperar los archivos cifrados, sino que también hay que evitar una posible brecha de información, lo que podría perjudicar a la víctima de varias formas (su reputación por ejemplo).

Las victimas de este ransomware son organizaciones que o bien cuentan con grandes cantidades de dinero o que necesitan de la información para poder trabajar con normalidad. Conti ha sido uno de los más activos en el 2021 y deja casos conocidos como el ataque al sistema de salud de Irlanda en plena pandemia del Coronavirus.

El ransomware es capaz de acceder a las redes de las víctimas mediante campañas de phishing que pueden contener archivos maliciosos o enlaces infectados. Los archivos adjuntos maliciosos descargan malware como TrickBot u otro tipo de aplicaciones para implantar Backdoors o realizar movimientos laterales. También ataca vulnerabilidades en equipos expuestos a internet y al protocolo de escritorio remoto RDP.

El principal vector de ataque son personas reclutadas que se encargan de acceder a las redes, moverse lateralmente, escalar privilegios, exfiltrar la información de las víctimas y ejecutar el ransomware en los equipos. Todo ello, para cobrar una comisión que suele rondar el 70% en caso de éxito. Sin embargo, no siempre termina bien y puede terminar en conflictos en caso de impago, como ya ocurrió una vez y donde el afiliado publicó información de los manuales de Conti porque el grupo no le había pagado el monto de dinero acordado.

Conti: ¿Cómo opera?

Conti recluta a afiliados para que hagan “pentest” sobre el objetivo, y les proporciona las herramientas necesarias (muchas de ellas son herramientas comúnmente usadas a la hora de hacer un pentesting) junto con unos manuales detallados para que lleven a cabo las distintas acciones cibercriminales sobre los objetivos. Los manuales están tan detallados que incluso una persona con conocimientos básicos podría hacer uso de las herramientas.

Como ya se ha comentado, un ex-afiliado no muy contento por no recibir el dinero acordado filtró en agosto de 2021 los manuales y herramientas. En total había unos 37 manuales donde se detallaban cómo usar las herramientas que entre otras acciones permitían:

• Configuración y utilización de Cobalt Strike, una herramienta de escaneos intrusivos que permite encontrar la ubicación de las vulnerabilidades así como para realizar pruebas de penetración.
• Ataques por fuerza bruta al protocolo SMB con listado de algunas contraseñas básicas.
• *Persistencia *dentro de una máquina mediante AnyDesk.
• Desactivar Windows Defender en una máquina.
• Enumerar usuarios dentro de la red.
• Exfiltrar archivos mediante RClone.
• Instalar Metasploit dentro de un VPS.
• Utilización de ZeroLogon en Cobalt Strike, una vulnerabilidad en el inicio de sesión en la cual el vector de inicialización se establece como cero, cuando debería ser siempre un número aleatorio.
• Escalada de privilegios.
• Extracción de información de bases de datos SQL.
• Escanear una red con NetScan.
• Enlaces de repositorios con exploits o guías de como hacer un pentesting sobre Active Directory.
• Dumpear el proceso LSASS con Cobalt Strike.
• Sincronizar archivos de un PC contra servicios de almacenamientos en la nube usando RClone.

Cuando Conti se ejecuta, mientras se van cifrando los archivos de forma paralela usando hilos, se crea un archivo readme.txt que contiene la nota de rescate con todos los datos para contactar con los cibercriminales. Por otro lado, Conti es capaz de buscar dispositivos con carpetas compartidas con el protocolo SMB para cifrar su contenido. Resaltar que la creación de hilos permite al ransomware cifrar los archivos de forma más rápida. Además, dependiendo del tamaño del recurso a cifrar, Conti no necesariamente cifra el mismo entero, sino que puede cifrar sólo una parte del mismo.

El proceso de cifrado de un archivo se resume en:

• Generar clave aleatoria para el algoritmo ChaCha8.
• Cifrar el contenido dependiendo del tamaño del recurso.
• Cifrar la clave simétrica con la clave pública RSA (alojada en .data del malware).
• Guardar la clave cifrada dentro del recurso modificado.
• Agregar la extensión .QTBHS al recurso modificado.

Por último, otras características observadas en dicho ransomware son:

• Eliminar los archivos Shadow copies de la máquina víctima.
• Posee código basura, que no modifica la lógica principal del malware, pero sí dificulta su análisis.
• Tanto las cadenas de caracteres como los nombres de las API de Windows se encuentran ofuscadas con distintos algoritmos, y las dos ofuscan en tiempo de ejecución.
• Capacidad de ejecutarse con ciertos argumentos: -p “carpeta” –> cifra los archivos de una carpeta en particular -m local –> cifra la máquina víctima con múltiples hilos -m net –> cifra las carpetas compartidas con múltiples hilos -m all –> cifra todo el contenido de la máquina victima como también las carpetas compartidas con múltiples hilos -m backups –> No implementado (podría estar relacionado con el borrado de archivos de backups) -size chunk –> modo para cifrar archivos grandes -log logfile –> No implementado (parece ser que crea un archivo que registra la actividad del malware mientras se ejecuta) -nomutex –> No crea un mutex
• No cifra los archivos: - Terminados en las extensiones: .exe, .dll, .lnk, .sys, .msi y .bat. - Llamados readme.txt o CONTI_LOG.txt. - Que se encuentren en las carpetas: tmp, winnt, temp, thumb, $RecycleBin, Boot, Windows, TrendMicro, perflogs, Sophos o HitmanPro.

Conti: Prevención

Lo primero que todo, se desaconseja totalmente el pago por el rescate en caso de que se sufra un ataque de Conti o de otro ransomware, ya que esto favorece a que el cibercrimen crezca y que este tipo de ataques sean rentables. Además, pagar el rescate no nos asegura que el cibercriminal nos va a dar el descifrador.

¿Cómo evito o minimizo riesgos de este tipo de ataque entonces? Algunas de las medidas que puedes aplicar son:

• Hacer backups de manera periódica.
• Instalar solución de seguridad confiable.
• Implementar solución EDR para detectar anomalías.
• Mantener equipos actualizados (aplicaciones y Sistema operativo).
• Deshabilitar RDP en caso de no ser necesario.
• No abrir enlaces ni archivos adjuntos de remitentes no conocidos.
• Mostrar extensiones de archivos que por defecto vienen ocultas, para evitar abrir recursos maliciosos.
• Formar y concienciar acerca de los riesgos a los que se está expuestos en internet.