Atacar a un país, Costa Rica, obligando a su presidente a declarar el estado de emergencia, por una simple distracción. De esto habría sido culpable el grupo de ciberdelincuentes Conti, según Yelisey Bogusalvskiy y Vitali Kremez, investigadores de ciberseguridad. El propósito de la operación sería reorganizar detrás de escena y deshacerse de una identidad que ahora es demasiado pesada para soportar. Conti estaría oficialmente muerto el 19 de mayo.
Regla n.° 1 para los ciberdelincuentes de habla rusa: no se involucre en política
Conti News, el sitio público del colectivo parece muy activo. Los datos robados a las víctimas siempre se marcan en tránsito. La publicación dedicada a Costa Rica se actualizó el 21 de mayo de 2022, unas quince más aparecieron el 23 de mayo. Sin embargo, Yelisey Bogusalvskiy de Advanced Intelligence (AdvIntel) considera que esto es un simple escaparate.
¿Por qué los piratas informáticos respaldados por Beijing persiguen a Rusia?
Indicó el 19 de mayo que “ La función operativa crucial de Conti News de cargar nuevos datos para intimidar a las víctimas para que paguen ya no existe, ya que se cerró toda la infraestructura relacionada con el comercio, la carga de datos y el alojamiento de datos robados. «.
Para el investigador va más allá. Este cierre no sería una decisión espontánea «, pero bueno » un movimiento calculado, cuyos signos habían sido evidentes desde finales de abril «. El grupo Conti, experto en ransomware, adquirió una notoriedad sin precedentes a los ojos del público en general en 2022.
Creado en el verano de 2020, el colectivo ha logrado varias proezas mediáticas. El primero fue un ataque al sistema de salud irlandés. Terminó dando amablemente una clave de descifrado. Se considera que el grupo generó la mayor cantidad de ingresos en 2021.
Es la invasión de Ucrania por Rusia lo que definitivamente lo expondrá. Cosa rara en el medio, el grupo se pronuncia abiertamente a favor de Rusia al inicio del conflicto. Esto no sienta bien a algunos de sus miembros, ucranianos o rusos contra la guerra, y 170.000 mensajes internos se filtran rápidamente.
A pesar de un retroceso, el negocio de Conti será mucho más difícil de llevar a cabo. Viola una regla tácita de los ciberdelincuentes de habla rusa: no interferir en los asuntos estatales para evitar atraer la atención de Moscú. Según los informes, el FSB, la inteligencia interna del país, presionó al grupo.
#Conti #Secuestro de datos acaba de cambiar la redacción de su declaración sobre el apoyo de Rusia. Afirmando que no se alían con ningún gobierno y condenando la guerra.@VK_Intel @malwhunterteam pic.twitter.com/JaLYPlDjwb
— Yelisey Boguslavskiy (@y_advintel) 25 de febrero de 2022
Ahora “Conti” huele a azufre. Según AdvIntel, los rescates se pagan cada vez menos. Las víctimas occidentales temen una doble sanción: por un lado, ser extorsionadas por ciberdelincuentes y, por otro, ser castigadas por su gobierno por eludir las sanciones internacionales. El 6 de mayo de 2022, el Departamento de Estado de EE. UU. ofreció 10 millones de dólares para desmantelar el grupo.
Conti quiere tener bebes
Conti, consciente de la toxicidad de su marca, se reorganizará para emanciparse de ella. AdvIntel informa que detectó preparativos para el ataque a Costa Rica desde el 14 de abril. Las autoridades locales fueron notificadas al día siguiente, unos días antes de los primeros incidentes.
Esta operación, Conti quiere que ella sepa. Las declaraciones políticas, discretas siguiendo el posicionamiento prorruso, vuelven a repuntar. En foros especializados, el colectivo presume de estar en mejor forma que nunca. De hecho, el presidente de Costa Rica tuvo que colocar a su país en estado de emergencia nacional el 8 de mayo de 2022.
Según AdvIntel, todo esto es en realidad el canto del cisne de Conti. Mientras aparecen algunos miembros, el resto cubre sus pistas y forma grupos más pequeños y discretos “. De hecho, el ataque a Costa Rica puso a Conti en el centro de atención y lo ayudó a mantener la ilusión de vida por un poco más de tiempo mientras la verdadera reestructuración estaba en marcha. “, explican los investigadores de ciberseguridad.
Estos grupos han sido clasificados en varias categorías por Advintel. Algunos son autónomos, semiautónomos, otros completamente independientes, estos últimos finalmente se integran con otros ciberdelincuentes para recuperar su identidad, “fusiones y adquisiciones”.
Representación de la reorganización de Conti. Crédito: AdvIntel
Los miembros de sus grupos permanecerían unidos y leales a la gestión de Conti y en particular a «reshaev», una figura del colectivo, tan buen codificador como organizador. Más horizontales y descentralizados, los primeros parecen funcionar entre ellos y permanecen relativamente cerrados a otros ciberdelincuentes según AdvIntel. El espíritu Conti debería sobrevivir a la desaparición del grupo como tal.