Conti Desempeño
Compensación y Desempeño
Los miembros del equipo de negociación de Conti (incluidos los especialistas de OSINT) reciben comisiones, calculadas como un porcentaje del monto del rescate pagado que oscila entre el 0,5 % y el 1 %. A los codificadores y algunos de los gerentes se les paga un salario en bitcoin, que se transfiere una o dos veces al mes. Los empleados de Conti no están protegidos por las juntas laborales locales y, por lo tanto, tienen que soportar algunas prácticas de las que están exentos los empleados tecnológicos típicos, como ser multados por bajo rendimiento:
En última instancia, este método resultó no ser lo suficientemente efectivo y la gerencia de Conti tuvo que recurrir a la amenaza más tradicional de despido para motivar a los empleados, como se ve a continuación.
El equipo ofensivo también tiene menos flexibilidad en su tiempo libre. Después de todo, que un miembro del equipo esté disponible o no puede significar la diferencia entre detectar y neutralizar una infracción y avanzar con éxito a la etapa en la que los datos de la víctima se cifran y filtran. Para los miembros de este equipo, acostumbrados a estar siempre de guardia, un simple placer como tener sábado y domingo libres es motivo de celebración:
Aparte de estos golpes de buena fortuna, el equipo ofensivo no puede tomar un descanso. Incluso en el Año Nuevo, que se celebra ampliamente en todos los países de habla rusa y generalmente implica varios días de vacaciones para los empleados, se espera que los miembros de este equipo asuman sus “roles de combate” si es necesario. Otros empleados también están técnicamente de guardia durante estos días, pero está fuertemente implícito que en la práctica están de vacaciones pagadas y no recibirán mensajes de texto de inspección sorpresa de los jefes durante las vacaciones.
Como se ve en el mensaje de Silver más arriba, hay un premio al “empleado del mes” que se extrae del fondo de multas punitivas impuestas a los empleados menos favorecidos de ese mes. La bonificación de premio es igual al 50 % del salario de ese empleado y se puede otorgar a los empleados por nuevas iniciativas útiles que ganan puntos con la gerencia (como inventar un nuevo método de entrega de carga útil) o por un compromiso y persistencia extraordinarios al resolver algún problema específico.
Evidentemente, la gerencia se toma el premio muy en serio: las razones para elegir al ganador no se inventan y los puntos mencionados anteriormente sí importan.
El estilo de gestión varía de un equipo a otro. En algunos casos, el “gran jefe” Stern simplemente envía un mensaje de difusión preguntando al grupo cómo están, en qué proyectos están trabajando y si tienen alguna idea nueva que quieran promover. En otros casos, la gerencia intermedia está involucrada y generalmente exige informes, la mayoría de los cuales lamentablemente no están disponibles para nosotros, ya que se transfieren con OTR o mediante servicios privados compartidos como privnote.
A veces, los líderes de equipo pueden incluso participar en la tradicional tradición corporativa de la Revisión de desempeño, discutiendo al final del año cómo le fue al empleado, qué hicieron bien y cómo pueden mejorar, además de informarles sobre los planes globales de Conti. para el próximo año y recomendar oportunidades de capacitación.
Anonimato, ignorancia y retención
No todos los empleados de Conti saben que son parte de una actividad delictiva, al menos no desde el principio. En una entrevista de trabajo en línea, un gerente le dice a un potencial empleado del equipo de codificación: “aquí todo es anónimo, la dirección principal de la empresa es el software para pentesters”.
Un ejemplo sorprendente es un miembro del grupo conocido por el apodo de “Zulas”, probablemente la persona que desarrolló el backend de Trickbot en el lenguaje de programación Erlang. Zulas es un apasionado de Erlang, ansioso por mostrar ejemplos de sus otros trabajos e incluso menciona su nombre real. Cuando su gerente menciona que su proyecto “trick” (Trickbot) fue visto por “medio mundo”, Zulas no entiende la referencia, llama “lero” al sistema y revela que no tiene idea de qué está haciendo su software y por qué el equipo hace todo lo posible para proteger las identidades de los miembros. Su interlocutor decide no romper su ingenuo corazón y le dice que está trabajando en un backend para un sistema de análisis de anuncios.
Incluso cuando un empleado involuntario finalmente se da cuenta de lo que está construyendo, Conti tiene un plan para retenerlo. El mismo Stern describe brevemente el proceso en otra conversación: el programador podría trabajar en un solo módulo, sin entender el proyecto como un todo; cuando finalmente se dan cuenta, después de muchas horas de trabajo, Conti les ofrece un aumento de sueldo. Stern testifica que, llegados a ese punto, los empleados suelen darse cuenta de que, dado que todo ha ido bien hasta ahora, no tienen que preocuparse por las consecuencias y, por lo tanto, el único incentivo para pasar por la molestia de renunciar a su trabajo son consideraciones puramente morales. Stern parece dar a entender que este método produce buenas tasas de retención, incluso para los empleados que, de otro modo, se habrían negado a ser contratados para trabajar para un sindicato de ciberdelincuentes en primer lugar.
Oficinas
Te puedes imaginar que una empresa como Conti estaría alojada completamente en línea, pero no: el grupo Conti tiene varias oficinas físicas. Estos están a cargo de “Target”, socio de Stern y jefe efectivo de operaciones de la oficina, quien también es responsable del fondo de salarios, el equipo técnico de la oficina, el proceso de contratación de Conti y la capacitación del personal. Durante 2020, las oficinas offline fueron utilizadas principalmente por testers, equipos ofensivos y negociadores. Target menciona 2 oficinas dedicadas a los operadores que están hablando directamente con los representantes de las víctimas. En agosto de 2020, se abrió una oficina adicional para administradores de sistemas y programadores, bajo la supervisión del “Profesor”, quien es responsable de todo el proceso técnico para asegurar la infección de una víctima.
Los mensajes de Rocket.Chat filtrados incluyen las comunicaciones de los miembros del equipo ofensivo que trabajaban en la oficina, lo que indica que probablemente Rocket.Chat estaba instalado en sus dispositivos móviles.
Contrataciones
Todos hemos oído hablar de la escasez de habilidades en tecnología, y el grupo Conti tiene que lidiar con eso como todos los demás. Para mejorar sus probabilidades, optaron por diversificar su grupo inicial de candidatos, así que en lugar de confiar únicamente en el talento clandestino criminal, Conti contrata personal regularmente abusando de los sitios web de contratación legítimos.
HeadHunter y SuperJobs
El recurso principal que suele utilizar Conti HR para la contratación son los servicios de cazatalentos de habla rusa como headhunter. También han usado otros sitios como superjobs, pero en esta última tuvieron menos éxito.
Conti OPSec prohíbe dejar rastros de ofertas de trabajo de desarrollador en dichos sitios web, una regulación aplicada estrictamente por uno de los superiores (Stern). Entonces, para contratar desarrolladores y seguir esta norma, Conti pasa por alto el sistema de trabajo y filtrado de headhunter.ru. Quizás te preguntes el por qué headhunter.ru ofrece tal servicio, pero la respuesta es que no lo hacen. Lo que ocurre es que Conti simplemente compró el software que brinda acceso al conjunto de CV “prestados” sin permiso, lo que parece ser una práctica estándar en el mundo del cibercrimen.
Esta necesidad de interactuar directamente con una enorme lista de CV en lugar de utilizar el filtrado integrado del sitio exacerba aún más la lucha típica de recursos humanos para encontrar candidatos con la experiencia tecnológica relevante. En ocasiones, Conti HR ha expresado francamente su frustración por verse inundado de candidatos irrelevantes:
Una vez que Recursos Humanos localiza a un candidato que podría encajar en alguna vacante dentro de Conti Corp, su CV se anonimiza y se envía al punto de contacto técnico pertinente dentro de la organización. Esto inicia un diálogo engorroso en el que Recursos Humanos actúa como mediador, para asegurarse de que el posible superior del candidato no conozca su identidad. No hace falta decir que este proceso no es a prueba de balas. A veces es posible deducir la identidad del candidato realizando una búsqueda en la web de su experiencia laboral y, a veces, RR. HH. simplemente comete un error y no elimina el nombre.
Uno podría sorprenderse por la composición demográfica de los empleados de Conti. Contrariamente al estereotipo prevaleciente de ciberdelincuentes jóvenes e imprudentes, que tienen la ilusión de ser invencibles y no tienen nada que perder, a Conti también se le acercaron posibles empleados senior. Una de esas personas, que afirmó tener experiencia como desarrollador desde 1980, se presenta de la siguiente manera:
El uso de HeadHunter como herramienta de reclutamiento no se limita a especialistas técnicos. También se usó para reclutar a otros empleados, por ejemplo, para personal en centros de llamadas utilizados en campañas de ingeniería social como BazaarCall. Entrevistar a estos candidatos es responsabilidad de “Derek”, un empleado de recursos humanos de Conti, quien usa Telegram en lugar de chats basados en Tor para esta tarea.
Boca a Boca
Cuando se comunicaban con los empleados, la alta gerencia a menudo argumentaba que trabajar para Conti era el negocio de su vida: altos salarios, tareas interesantes, crecimiento profesional etc. “Stern”, uno de los superiores, incluso ideó un programa de recomendación de empleados para codificadores, donde una recomendación exitosa que dura más de un mes genera una bonificación equivalente al segundo salario del empleado recomendado.
En un caso verdaderamente sobresaliente, un ex miembro del red team curioso hackeó el Jabber del grupo para hablar directamente con Stern. Mientras que en una empresa de tecnología típica tal táctica podría estar mal vista, en el mundo del cibercrimen es evidentemente una hazaña a tener en cuenta y ser respetada:
Foros de Darknet
Aparte de estos métodos poco ortodoxos, Conti también recluta talento de la manera más tradicional, a través de foros clandestinos. A los posibles candidatos se les da primero el identificador de Jabber que usará su entrevistador (como admintest, que manejaría las pruebas para los administradores de sistemas). Si la entrevista fue exitosa, se crea una cuenta permanente para el candidato. Incluso con este método de rutina, Conti HR a veces se volvía creativo: por ejemplo, al buscar miembros del equipo ofensivos y administradores de sistemas, se les ocurrió la idea de “reciclar” una campaña de reclutamiento anterior de un grupo de ransomware rival. Su principal competidor, REvil, había realizado anteriormente un truco publicitario que consistió en depositar un millón de dólares en bitcoins en una cuenta para luego publicar un anuncio de reclutamiento en medio del hilo del foro donde se discutía el depósito. Este anuncio recibió muchas respuestas con detalles de contacto, todos públicos, por lo que Conti HR pudo extraer de este hilo un grupo de candidatos de alta calidad para enviar spam con ofertas de trabajo.
Planes de Futuro
La alta gerencia de Conti busca constantemente nuevas formas de expandir el negocio. Las ideas que surgieron para este propósito van desde simples estafas hasta proyectos paralelos a gran escala. Una de las ideas discutidas fue la creación de un intercambio criptográfico en el propio ecosistema del grupo.
Mango parece apoyar con entusiasmo todas las ideas del jefe y las promueve entre otros miembros del grupo.
Otro proyecto es la “red social darknet” (también conocida como “VK for darknet” o “Carbon Black for hackers”), un proyecto inspirado en Stern y llevado a cabo por Mango, previsto para ser desarrollado como proyecto comercial. En julio de 2021, Conti ya estaba en contacto con un diseñador, que produjo algunas maquetas.
Consecuencia de la fuga de información
Debido a que la filtración continuó después del volcado inicial de datos filtrados, todos tuvimos el privilegio inusual de ver las respuestas a la filtración original. Se vio a los miembros borrando la actividad pasada, eliminando máquinas virtuales de producción y moviéndose a otros canales de comunicación.
Parece que la filtración se sumó a la pila de problemas actuales en Conti. Como vimos en los chats, el gran jefe Stern guardó silencio a mediados de enero, en enero-febrero se observan varios problemas informados con el salario y, finalmente, unos días antes de la filtración, “Frances” en Rocket.Chat les dice a todos tomar un descanso de 2 a 3 meses para reagruparse y reorganizarse debido a la amplia atención del público y la ausencia de los jefes del grupo.
Mientras todo esto sucede, el negocio de Conti sigue operativo, al menos parcialmente. El sitio de fugas de Conti (ContiNews) todavía está activo y se actualiza con nuevas víctimas. Como el proceso de configuración y soporte de la infraestructura de Conti se agiliza, no será un gran problema para Conti configurar sus operaciones desde cero.
En cuanto a los miembros, Conti probablemente perderá algunos. Ciertamente, se espera que los miembros que se sintieron molestos como resultado de la filtración al menos se tomen unas largas vacaciones. Probablemente se irán varios empleados más que se sintieron ofendidos por la forma en que otros miembros hablaron de ellos a sus espaldas, así como aquellos que ya estaban preocupados por los posibles riesgos laborales de trabajar para una operación de ransomware; esta fuga en curso sin duda los asustó.
Habiendo dicho todo eso, con todo el conocimiento, esfuerzo, organización, ingenio y dinero invertido, Conti es simplemente demasiado grande para fallar. A menos que se produzca un arresto generalizado como el que le sucedió a REVil, es muy probable que Conti se levante de nuevo. Si alguno de nosotros tuvo delirios románticos sobre una operación enormemente rentable como Conti siendo dirigida por un grupo pequeño, despistado y apasionado que simplemente está “volando” y podría cansarse de rodar todo este dinero, ahora todos sabemos que no.