Un análisis de cuatro meses de registros de chat que abarcan más de 40 conversaciones entre los operadores de Conti y Hive ransomware y sus víctimas ha ofrecido una idea del funcionamiento interno de los grupos y sus técnicas de negociación.
En un intercambio, se dice que el Equipo Conti redujo significativamente la demanda de rescate de la asombrosa cantidad de $ 50 millones a $ 1 millón, una caída del 98%, lo que sugiere una disposición a conformarse con una cantidad mucho menor.
«Tanto Conti como Hive se apresuran a reducir las demandas de rescate y, de forma rutinaria, ofrecen reducciones sustanciales varias veces durante las negociaciones», Cisco Talos. dicho en un informe compartido con The Hacker News. «Esto indica que, a pesar de la creencia popular, las víctimas de un ataque de ransomware en realidad tienen un poder de negociación significativo».
Conti y Hive se encuentran entre las cepas de ransomware más frecuentes en el panorama de amenazas, acumulando el 29,1 % de los ataques detectados durante el período de tres meses entre octubre y diciembre de 2021.
Una conclusión clave de la revisión de los registros de chat es el contraste en los estilos de comunicación entre los dos grupos. Si bien las conversaciones de Conti con las víctimas son profesionales y están marcadas por el uso de diferentes tácticas de persuasión para convencer a las víctimas de que paguen el rescate, Hive emplea un enfoque informal «mucho más breve y directo».
Además de ofrecer vacaciones y descuentos especiales, también se sabe que Conti ofrece «soporte de TI» para prevenir futuros ataques, enviando a sus víctimas un llamado informe de seguridad que enumera una serie de pasos que las entidades afectadas pueden tomar para asegurar sus redes.
Además, el grupo motivado financieramente ha hecho uso de tácticas de miedo, advirtiendo a las víctimas del daño a la reputación y los problemas legales derivados de una fuga de datos y amenazando con compartir la información robada con competidores y otras partes interesadas.
«Después de encriptar las redes de las víctimas, los actores de amenazas de ransomware utilizaron cada vez más la ‘extorsión triple’ al amenazar con (1) divulgar públicamente información confidencial robada, (2) interrumpir el acceso a Internet de la víctima y/o (3) informar a los socios, accionistas o proveedores sobre el incidente», CISA anotado en un aviso a principios de este año.
Otro punto de distinción es la flexibilidad de Conti en cuanto a los plazos de pago. «Estos comportamientos sugieren que los operadores de Conti son ciberdelincuentes altamente oportunistas que, en última instancia, preferirían algún pago en lugar de ninguno», dijo Kendall McKay, investigador de Talos.
Se ha observado que Hive, por otro lado, aumenta rápidamente sus demandas de rescate si la víctima no realiza el pago en la fecha estipulada.
Lo que también es notable es el énfasis de Hive en la velocidad sobre la precisión durante el proceso de cifrado, lo que lo hace vulnerable a los errores criptográficos que permiten recuperar la clave maestra.
«Al igual que muchos ciberdelincuentes, Conti y Hive son actores oportunistas que probablemente buscan comprometer a las víctimas a través de los medios más fáciles y rápidos posibles, que a menudo incluyen la explotación de vulnerabilidades conocidas», dijo McKay. «Este es un recordatorio para que todas las organizaciones implementen un sólido sistema de administración de parches y mantengan todos los sistemas actualizados».