La notoria pandilla de ransomware Conti, que el mes pasado realizó un ataque a los sistemas administrativos de Costa Rica, ha amenazado con “derrocar” al nuevo gobierno del país.
“Estamos decididos a derrocar al gobierno por medio de un ciberataque, ya les hemos mostrado toda la fuerza y el poder”, dijo el grupo en su sitio web oficial. “Tenemos a nuestros expertos en su gobierno. También estamos trabajando para obtener acceso a sus otros sistemas, no tienen más opciones que pagarnos”.
En un nuevo intento de aumentar la presión, el sindicato de ciberdelincuencia de habla rusa ha aumentado su demanda de rescate a $ 20 millones a cambio de una clave de descifrado para desbloquear sus sistemas.
Otro mensaje publicado en su portal web oscuro durante el fin de semana emitió una advertencia que indica que eliminará las claves de descifrado en una semana, una medida que imposibilitaría que Costa Rica recupere el acceso a los archivos cifrados por el ransomware.
“Hago un llamado a cada residente de Costa Rica, vayan a su gobierno y organicen mítines para que nos paguen lo antes posible si su actual gobierno no puede estabilizar la situación. ¿Tal vez vale la pena cambiarlo?”, decía el mensaje.
El devastador ataque, que tuvo lugar el 19 de abril, hizo que el nuevo gobierno declarara el estado de emergencia, mientras que el grupo filtró grandes cantidades de datos robados de los sistemas infectados antes del cifrado.
Conti atribuyó la intrusión a un actor afiliado denominado “UNC1756”, imitando el apodo que la firma de inteligencia de amenazas Mandiant asigna a grupos de amenazas no categorizados.
Los afiliados son grupos de piratería que alquilan el acceso a herramientas de ransomware ya desarrolladas para orquestar intrusiones en las redes corporativas como parte de lo que se denomina ransomware como servicio (RaaS) gig economy, y luego dividir las ganancias con los operadores.
Vinculado a un actor de amenazas conocido como Gold Ulrick (también conocido como Grim Spider o UNC1878), Conti ha seguido apuntando a entidades en todo el mundo a pesar de sufrir una fuga masiva de datos a principios de este año a raíz de su apoyo público a Rusia en el país. guerra en curso contra Ucrania.
La división de seguridad de Microsoft, que rastrea al grupo de ciberdelincuentes bajo el grupo DEV-0193, calificó a Conti como el “grupo activo de actividades ciberdelincuentes asociado con ransomware más prolífico en la actualidad”.
“Las acciones de DEV-0193 y el uso de la economía gig de los ciberdelincuentes significa que a menudo agregan nuevos miembros y proyectos y utilizan contratistas para realizar varias partes de sus intrusiones”, Microsoft Threat Intelligence Center (MSTIC) dicho.
“Como otras operaciones de malware se cerraron por varias razones, incluidas acciones legales, DEV-0193 contrató a desarrolladores de estos grupos. Las más notables son las adquisiciones de desarrolladores de Emotet, Qakbot e IcedID, llevándolos al paraguas DEV-0193. “
Los interminables ataques también han llevado al Departamento de Estado de EE. UU. a anunciar recompensas de hasta $10 millones por cualquier información que conduzca a la identificación de personas clave que forman parte del cartel del cibercrimen.
About the Author
