El infame grupo de ransomware conocido como Conti ha continuado<\/a> su embestida contra las entidades a pesar de sufrir una fuga masiva de datos a principios de este a\u00f1o, seg\u00fan una nueva investigaci\u00f3n.<\/p>\n Conti, atribuido a un actor de amenazas con sede en Rusia conocido como oro ulrick<\/b>es una de las cepas de malware m\u00e1s frecuentes en el panorama del ransomware y representa el 19 % de todos los ataques durante el per\u00edodo de tres meses entre octubre y diciembre de 2021.<\/p>\n Conti, uno de los grupos de ransomware m\u00e1s prol\u00edficos del \u00faltimo a\u00f1o junto con LockBit 2.0, PYSA y Hive, ha bloqueado las redes de hospitales, empresas y agencias gubernamentales, mientras recibe un pago de rescate a cambio de compartir la clave de descifrado como parte de su esquema de nombre y verg\u00fcenza.<\/p>\n Pero despu\u00e9s de que el c\u00e1rtel ciberdelincuente sali\u00f3 a apoyar a Rusia por su invasi\u00f3n de Ucrania en febrero, un investigador de seguridad ucraniano an\u00f3nimo bajo el nombre de usuario de Twitter ContiLeaks comenz\u00f3 a filtrar el c\u00f3digo fuente, as\u00ed como conversaciones privadas entre sus miembros, ofreciendo una visi\u00f3n sin precedentes del grupo. trabajos.<\/p>\n “Los chats revelan un ecosistema de ciberdelincuencia maduro en m\u00faltiples grupos de amenazas con colaboraci\u00f3n y soporte frecuentes”, Secureworks dicho<\/a> en un informe publicado en marzo. Los grupos incluyen Gold Blackburn (TrickBot y Diavol), Gold Crestwood (Emotet), Gold Mystic (LockBit) y Gold Swathmore (IcedID).<\/p>\n De hecho, los Intel 471 seguimiento t\u00e9cnico<\/a> de las campa\u00f1as de Emotet entre el 25 de diciembre de 2021 y el 25 de marzo de 2022, identific\u00f3 que m\u00e1s de una docena de objetivos del ransomware Conti fueron, de hecho, v\u00edctimas de ataques de malspam de Emotet, lo que destaca c\u00f3mo las dos operaciones est\u00e1n entrelazadas.<\/p>\n Dicho esto, las filtraciones no parecen haber frenado las actividades del sindicato, ya que la cantidad de v\u00edctimas de Conti publicadas en marzo aument\u00f3 al segundo total mensual m\u00e1s alto desde enero de 2021, seg\u00fan la firma de ciberseguridad con sede en Atlanta.<\/p>\n Adem\u00e1s, se dice que el grupo agreg\u00f3 11 v\u00edctimas en los primeros cuatro d\u00edas de abril, incluso cuando los operadores contin\u00faan “evolucionando su ransomware, m\u00e9todos de intrusi\u00f3n y enfoques” en respuesta a la divulgaci\u00f3n p\u00fablica de su arsenal.<\/p>\n Los hallazgos tambi\u00e9n han sido corroborados por Grupo CNC<\/a> a fines del mes pasado, que dec\u00eda que “los operadores de Conti contin\u00faan con sus negocios como de costumbre al comprometer las redes, extraer datos y finalmente implementar su ransomware”.<\/p>\n El desarrollo viene como financiero y superposiciones t\u00e1cticas<\/a> han sido descubiertos entre Conti y el grupo de extorsi\u00f3n de datos Karakurt en base a informaci\u00f3n publicada durante la saga ContiLeaks, semanas despu\u00e9s de que los operadores de TrickBot fueran incluidos en el c\u00e1rtel del ransomware.<\/p>\n Un an\u00e1lisis de las transacciones de blockchain asociadas con las direcciones de criptomonedas que pertenecen a Karakurt ha demostrado que “las billeteras Karakurt env\u00edan sumas sustanciales de criptomonedas a las billeteras Conti”, seg\u00fan un investigacion conjunta<\/a> por investigadores de Arctic Wolf y Chainalysis.<\/p>\n Tambi\u00e9n se dice que el alojamiento de billetera compartida involucra el ransomware Diavol de la ahora desaparecida pandilla TrickBot, con una “direcci\u00f3n de extorsi\u00f3n de Diavol alojada en una billetera que contiene direcciones utilizadas en ataques de ransomware Conti”, lo que indica que Diavol est\u00e1 siendo implementado por el mismo conjunto de actores detr\u00e1s Conti y Karakurt.<\/p>\n Un examen forense adicional de un cliente an\u00f3nimo que fue atacado con una ola posterior de ataques de extorsi\u00f3n luego de una infecci\u00f3n de ransomware Conti revel\u00f3 que el segundo grupo us\u00f3 la misma puerta trasera Cobalt Strike que dej\u00f3 Conti, lo que implica una fuerte asociaci\u00f3n entre actores de delitos cibern\u00e9ticos aparentemente dispares.<\/p>\n “Queda por ver si Karakurt es un trabajo secundario elaborado por parte de los operativos de Conti y Diavol o si se trata de una empresa sancionada por la organizaci\u00f3n en general”, dijo Arctic Wolf.<\/p>\n “Esta conexi\u00f3n tal vez explique por qu\u00e9 Karakurt sobrevive y prospera a pesar de que algunos de sus competidores de exfiltraci\u00f3n solo est\u00e1n desapareciendo”, dijeron los investigadores, y agregaron: “O, alternativamente, tal vez esta fue la prueba de una diversificaci\u00f3n estrat\u00e9gica autorizada por el grupo principal. “<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Alertas-de-CISA-sobre-fallas-explotadas-activamente-en-la-plataforma.png\")
<\/a><\/div>\nUna red de conexiones entre Conti y Karakurt<\/h3>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650976282_969_Los-piratas-informaticos-Gold-Ulrick-siguen-en-accion-a-pesar.jpg\")
<\/div>\n