La ciberpandilla de Conti se regodeaba cuando filtraba los datos de las víctimas. Ahora las tornas están cambiadas

Una calavera y tibias cruzadas en la pantalla de una computadora están rodeadas de unos y ceros.

Durante meses, los miembros de Conti, entre los más despiadados de las docenas de pandillas de ransomware que existen, se regodearon en compartir públicamente los datos que robaron de las víctimas que piratearon. Ahora, los miembros están aprendiendo lo que es estar en el extremo receptor de una brecha importante que derrama toda su ropa sucia, no solo una vez, sino repetidamente.

La serie de filtraciones en desarrollo comenzó el domingo cuando @ContiLeaksuna cuenta de Twitter recién creada, comenzó a publicar enlaces a registros de mensajes de chat internos que los miembros de Conti se habían enviado entre ellos.

Dos días después, ContiLeaks publicó un nuevo tramo de mensajes

Quemarlo hasta el suelo

El miércoles, ContiLeaks volvió con más chats filtrados. El último despacho mostraba encabezados con fechas del martes y miércoles, una indicación de que el filtrador desconocido seguía teniendo acceso a la información interna de la pandilla. Jabber/XMPP

servidor.

“Hola, ¿cómo están las cosas con nosotros?” un trabajador de Conti llamado Tort escribió en un mensaje el miércoles a un compañero de pandilla llamado Green, según Google Translate. Tort continuó informando que alguien había “borrado todas las granjas con una trituradora y limpiado los servidores”. Tal movimiento sugirió que Conti estaba desmantelando su considerable infraestructura por temor a que las filtraciones expusieran a los miembros a los investigadores policiales de todo el mundo.

En otro tuit, ContiLeaks escribió: “¡Gloria para Ucrania!” Esto implicaba que la filtración estuvo motivada, al menos en parte, para responder a una declaración publicada en el sitio de Conti en la web oscura de que los miembros del grupo “utilizarían toda su capacidad para aplicar medidas de represalia en caso de que los belicistas occidentales intenten atacar la infraestructura crítica en Rusia o cualquier región del mundo de habla rusa”.

KrebsOnSecurity, citando a Alex Holden, el fundador nacido en Ucrania de la firma de inteligencia cibernética Hold Security con sede en Milwaukee, ha informado que ContiLeaks es un investigador de seguridad ucraniano. “Esta es su manera de detenerlos al menos en su mente”, agrega KrebsOnSecurity. Otros investigadores han especulado que el filtrador es un empleado ucraniano o un socio comercial de Conti que rompió con los líderes de Conti en Rusia cuando se comprometieron a apoyar al Kremlin.

En total, las filtraciones, que están archivadas aquí—crónica de casi dos años del funcionamiento interno del grupo. El 22 de septiembre de 2020, por ejemplo, un líder de Conti que usó el identificador Hof reveló que algo parecía andar terriblemente mal con Trickbot, una botnet de alquiler que Conti y otros grupos criminales usaban para implementar su malware.

“El que hizo esta basura lo hizo muy bien”, escribió Hof mientras estudiaba detenidamente un misterioso implante que alguien había instalado para hacer que las máquinas infectadas con Trickbot funcionaran. desconectarse del servidor de comando y control que les dio instrucciones. “Sabía cómo funciona el bot, es decir, probablemente vio el código fuente o lo invirtió. Además, de alguna manera cifró la configuración, es decir, tenía un codificador y una clave privada, además de subirlo todo al panel de administración. Es solo una especie de sabotaje”.

Habrá pánico… y humillación

Diecisiete días después de que Hof entregó el análisis, The Washington Post reportado que el sabotaje fue obra del Comando Cibernético de EE. UU., un brazo del Departamento de Defensa encabezado por el director de la Agencia de Seguridad Nacional.

Cuando los miembros de Conti intentaron reconstruir su infraestructura de malware a fines de octubre, su red de sistemas infectados creció repentinamente para incluir 428 instalaciones médicas en los EE. UU., informó KrebsOnSecurity. El liderazgo decidió aprovechar la oportunidad para reiniciar las operaciones de Conti al implementar su ransomware simultáneamente en las organizaciones de atención médica que estaban cediendo ante la tensión de una pandemia global.

“A la mierda las clínicas en los EE. UU. esta semana”, escribió un gerente de Conti con el identificador de Target el 26 de octubre de 2020. “Habrá pánico. 428 hospitales.”

Otros registros de chat analizado por KrebsOnSecurity muestra a los trabajadores de Conti quejándose de los bajos salarios, las largas horas, las rutinas de trabajo agotadoras y las ineficiencias burocráticas.

El 1 de marzo de 2021, por ejemplo, un empleado de bajo nivel de Conti llamado Carter informó a sus superiores que el fondo de bitcoin utilizado para pagar suscripciones de VPN, licencias de productos antivirus, nuevos servidores y registros de dominios tenía un déficit de $1240.

Ocho meses después, Carter volvía a servil.

“Hola, nos quedamos sin bitcoins”, escribió Carter. “Cuatro nuevos servidores, tres suscripciones vpn y 22 renovaciones están disponibles. Dos semanas antes de las renovaciones por $960 en bitcoin 0.017. Por favor envíe algunos bitcoins a esta billetera, gracias.”

Leave a Reply

Your email address will not be published. Required fields are marked *