Conti, un grupo de ransomware que opera como una gran empresa tecnológica

Recomendados:  Lee IT Digital Security (Marzo de 2022) para PC y Mac Leer  No aborde los desafíos de hoy con las soluciones de ayer: adopte un enfoque centralizado Leer

Check Point Research revela nuevos datos sobre el funcionamiento interno de Conti, un grupo de ransomware como servicio (RaaS) que permite alquilar el acceso a su infraestructura para lanzar ataques. A él se le atribuyen ataques de ransomware dirigidos a docenas de empresas, entre ellas el gigante de la ropa Fat Face y Shutterfly, así como a infraestructuras críticas, como el servicio sanitario irlandés y otras organizaciones de asistencia. Expertos del sector han afirmado que Conti tiene su sede en Rusia y puede tener vínculos con la inteligencia de este país.

El 27 de febrero, un presunto infiltrado difundió en Internet un caché de registros de chat pertenecientes a Conti, que afirmaba haberse opuesto al apoyo del grupo a la invasión rusa de Ucrania. Los investigadores analizaron los archivos filtrados y descubrieron que este conjunto de ransomware opera como una gran empresa tecnológica, con una estructura jerárquica y definida, responsables de equipo que dependen de la alta dirección, y un departamento de recursos humanos encargado del proceso de contratación y el pago de salarios y bonificaciones a programadores, verificadores, criptógrafos, administradores de sistemas, ingenieros informáticos, especialistas en OSINT y personal de negociación.

Check Point Research ha identificado a los principales implicados con sus nombres: Stern (gran jefe), Bentley (jefe técnico), Mango (gestor de cuestiones generales), Buza (director técnico), Target (responsable de los codificadores y sus productos), Veron alias Mors (coordinador de las operaciones del grupo con Emotet). Target, socio de Stern y responsable efectivo de la operativa de las oficinas, también es el encargado del fondo salarial, del equipamiento técnico, del proceso de contratación de Conti y de la formación del personal.

Durante 2020, las oficinas offline fueron utilizadas principalmente por los técnicos de pruebas, los equipos ofensivos y los negociadores; Target señala dos oficinas dedicadas a los trabajadores que hablan directamente con los representantes de las víctimas. En agosto de 2020, se abrió una adicional para administradores de sistemas y programadores, bajo la supervisión del "Profesor, que es quien se encarga de todo el proceso técnico de garantizar las infecciones”.

Los miembros del equipo de negociación de Conti (incluidos los especialistas en OSINT) cobran mediante comisiones, calculadas como un porcentaje del valor del rescate pagado que oscila entre el 0,5% y el 1%. Los programadores y algunos de los directivos reciben un salario en bitcoin, transferido una o dos veces al mes. Los empleados de Conti no están sindicados, por lo que están expuesto a prácticas como ser sancionados por su bajo rendimiento.

El principal recurso que suele utilizar Conti HR para la contratación son los servicios de búsqueda de personal de habla rusa, como headhunter.ru. Conti OPSec prohíbe dejar rastros de las ofertas de trabajo para desarrolladores en esos sitios web, así que para contratarlos accede directamente a la bolsa de currículos y se pone en contacto con los candidatos por correo electrónico.

De cara al futuro, Conti prevé la creación de una bolsa de criptomonedas en el propio ecosistema del grupo. - Otro proyecto es la "red social de la Darknet" como una acción comercial. En julio de 2021, Conti ya se puso en contacto con un diseñador, que realizó algunas maquetas.

“Por primera vez, tenemos la oportunidad de acceder a un grupo conocido en el mundo del ransomware. Conti actúa como una empresa de alta tecnología. Nos encontramos con cientos de empleados en una jerarquía de directivos. Vemos una función de RR. HH, con responsables de diferentes departamentos. De forma alarmante, tenemos pruebas de que no todos los asalariados son plenamente conscientes de que forman parte de un grupo de ciberdelincuentes. En otras palabras, Conti ha podido reclutar profesionales de fuentes legítimas. Estos trabajadores creen que están colaborando con una empresa de publicidad, cuando en realidad están haciéndolo con un conocido grupo de ransomware. Algunos de ellos se enteran de la verdad y deciden quedarse, lo que revela que el equipo directivo de Conti ha desarrollado un proceso para conseguir retenerlos”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Nos queda claro que Conti ha desarrollado una cultura interna para aumentar los beneficios, además de multar a los empleados por comportamientos inadecuados. También es evidente que Conti tiene oficinas en Rusia”.