7 mar 2022

Diarios del grupo Ransomware #Conti (III - Armamento)

Traducción libre del artículo original "Conti Ransomware Group Diaries, Part III: Weaponry" de Brian Krebs

La Parte I de esta serie examinó los chats internos recientemente filtrados del grupo de ransomware Conti y cómo la banda criminal maneja sus propias infracciones internas. La Parte II exploró lo que es ser un empleado de la organización en expansión de Conti. La Parte III de hoy analiza cómo Conti abusó de los servicios de seguridad comerciales populares para socavar la seguridad de sus objetivos, así como también cómo los líderes del equipo crearon estrategias para tomar ventaja en las negociaciones de rescate con las víctimas.

Conti es, con mucho, el grupo de ransomware más exitoso en funcionamiento en la actualidad, y obtiene pagos multimillonarios de forma rutinaria de las organizaciones víctimas. Esto se debe a que quizás más que cualquier otro equipo de ransomware, Conti ha optado por centrar su considerable personal y talento en empresas con ingresos anuales superiores a los 100 millones de dólares.

Da la casualidad de que Conti se unió recientemente al club de los $100 millones. Según el último Crypto Crime Report [PDF] publicado por la firma de seguimiento de moneda virtuales Chainalysis, Conti generó al menos USD 180 millones en ingresos el año pasado.

Los chats filtrados muestran que el grupo Conti, que fluctuó en tamaño de 65 a más de 100 empleados, presupuestaba varios miles de dólares mensuales para pagar una gran cantidad de herramientas antivirus y de seguridad. Conti buscaba estas herramientas tanto para pruebas continuas (para ver cuántos productos detectaban su malware), como para su propia seguridad interna.

Una conversación entre un gerente de alto rango de Conti "Reshaev" y su subordinado "Pin", el 8 de agosto de 2021 muestra que Reshaev le ordena a Pin que verifique en silencio la actividad de los administradores de red de Conti una vez por semana, para asegurarse de que no estén haciendo nada para socavar la integridad de la red o la seguridad de la operación del grupo. Reshaev le dice a Pin que instale herramientas EDR en las computadoras de cada administrador.

"Verifica la actividad de los administradores en los servidores cada semana; instala EDR en cada computadora (por ejemplo, Sentinel, Cylance, CrowdStrike); configura un sistema de almacenamiento más complejo; protege el volcado de LSAS en todas las computadoras; que solo tengan una cuenta activa; instala las últimas actualizaciones de seguridad; instala firewall en toda la red" dice Reshaev

Los gerentes de Conti eran muy conscientes de que sus empleados manejaban datos increíblemente confidenciales e invaluables robados de las empresas, información que se vendería como pan caliente en los foros clandestinos de ciberdelincuencia. Pero en una empresa dirigida por ladrones, la confianza no es fácil.

"Me controlas todo el tiempo, ¿no confías en mí?", preguntó el miembro de nivel medio de Conti, "Bio" a "Tramp" (aka "Trump"), un líder supremo de Conti. Bio estaba manejando una gran transferencia de bitcoins del pago del rescate de una víctima, y ​​Bio detectó que Trump lo estaba monitoreando.

"Cuando entra esa cantidad de dinero a gente de la calle que nunca ha visto esa cantidad, ¿cómo puedes confiar en ellos al 1.000%?". respondió Trump.

OSINT

Conti también presupuestó mucho para lo que llamó "OSINT", o herramientas de inteligencia de código abierto. Por ejemplo, se suscribió a numerosos servicios que pueden ayudar a determinar quién o qué está detrás de una dirección IP específica, o si una IP determinada está vinculada a una VPN conocida. En un día promedio, Conti tenía acceso a decenas de miles de PC hackeadas, y estos servicios ayudaron a la pandilla a concentrarse únicamente en los sistemas infectados que creían que estaban ubicados dentro de grandes redes corporativas.

Las actividades de OSINT de Conti también involucraron el abuso de servicios comerciales que podrían ayudar al grupo a ganar ventaja en las negociaciones de rescate con las víctimas. Conti a menudo establecía sus demandas de rescate como un porcentaje de los ingresos anuales de la víctima, y ​​se sabía que la pandilla acosaba a los miembros de la junta directiva y a los inversores de empresas que se negaban a participar o negociar.

En octubre de 2021, el subordinado de Conti, "Bloodrush", le dijo a su gerente "Bentley" que el grupo necesitaba con urgencia comprar suscripciones a Crunchbase Pro y Zoominfo, y señaló que los servicios brindan información detallada sobre millones de empresas, como cuánto seguro mantiene una empresa; sus últimas estimaciones de ganancias; e información de contacto de los funcionarios ejecutivos y miembros de la junta.

En un proyecto de meses el año pasado, Conti invirtió U$S 60.000 en la adquisición de una licencia válida para Cobalt Strike, una herramienta de prueba y reconocimiento de penetración de red comercial que se vende solo a socios examinados. Pero las bandas de ciberdelincuentes abusan con frecuencia de las licencias "Coba" robadas o mal obtenidas para ayudar a sentar las bases para la instalación de ransomware en la red de una víctima. Parece que U$S 30.000 de esa inversión se destinaron a cubrir el costo real de una licencia de Cobalt Strike, mientras que la otra mitad se pagó a una empresa legítima que compró la licencia en secreto en nombre de Conti.

Del mismo modo, el Departamento de Recursos Humanos de Conti presupuestó miles de dólares cada mes para las suscripciones de los empleadores a numerosos sitios web de búsqueda de empleo, donde los empleados de Recursos Humanos de Conti revisarían los currículos para posibles contrataciones. En una nota al gerente de Conti "Stern" que explica el acceso pagado del grupo en una plataforma de empleo, el empleado de recursos humanos de Conti "Salamandra" dice que sus trabajadores ya han visto el 25-30 por ciento de todos los CV relevantes disponibles en la plataforma.

Otra unidad organizativa dentro de Conti con sus propias asignaciones presupuestarias, denominadas "Reversers", fue responsable de encontrar y explotar nuevas vulnerabilidades de seguridad en hardware, software y servicios basados ​​en la nube ampliamente utilizados. El 7 de julio de 2021, Stern ordenó a "Kaktus" que comenzara a centrar la atención del departamento en Windows 11, el sistema operativo más nuevo de Microsoft. "Win11 saldrá pronto, debemos estar preparados para esto y comenzar a estudiarlo. La beta ya está en línea, puedes descargarla y trabajar oficialmente"

POR LAS BUENAS O POR LAS MALAS

Los chats de la organización Conti incluyen numerosas deliberaciones internas sobre cuánto deben pagar las diferentes víctimas de ransomware. Y en este frente, Conti parece haber buscado la ayuda de terceros.

La firma de inteligencia cibernética Hold Security, con sede en Milwaukee, publicó esta semana una captura de pantalla en Twitter de una conversación en la que un miembro de Conti afirma tener un periodista en su nómina que puede ser contratado para escribir artículos que presionen a las empresas víctimas para que paguen una demanda de rescate. "Hay un periodista que ayudará a intimidarlos por el 5 por ciento del pago", escribió "Alarma", miembro de Conti, el 30 de marzo de 2021.

El equipo de Conti también tenía relaciones laborales decentes con varias personas que trabajaban en empresas que ayudaron a las víctimas de ransomware a pagar la demanda de extorsión en moneda virtual. Un negociador amistoso incluso tenía su propio apodo dentro del grupo, "The Spaniard", que según el gerente de nivel medio de Conti, Mango, es un hombre rumano que trabaja para una gran empresa de recuperación de ransomware en Canadá.

"Tenemos un socio aquí que ha estado trabajando con este negociador durante mucho tiempo", le dice Trump a Bio el 12 de diciembre de 2021, con respecto a sus negociaciones de ransomware con LeMans Corp. , un gran distribuidor de equipos para deportes motorizados con sede en Wisconsin [LeMans se negó a comentar para esta historia].

Poco después, Trump publica una respuesta de su amigo negociador: "Están dispuestos a pagar $1KK [$1 millón] rápidamente. Necesita los descifradores. La junta está dispuesta a llegar a un máximo de $1KK."

En una discusión de rescate diferente, el negociador insta a Conti a reconsiderar una demanda tan fuerte. "Mi cliente solo tiene un máximo de U$S 200.000 para pagar y solo quiere los datos", escribió el negociador el 7 de octubre de 2021. "Vea lo que puede hacer o este trato no sucederá".

Muchas organizaciones ahora tienen un seguro cibernético para cubrir las pérdidas asociadas con un ataque de ransomware. Los registros indican que Conti se mostró ambivalente acerca de trabajar con estas víctimas. Por un lado, las aseguradoras parecían limitar su capacidad de exigir montos de rescate astronómicos. Por otro lado, las víctimas aseguradas generalmente pagaban, con un mínimo de molestias o negociaciones prolongadas de ida y vuelta.

"Están asegurados para riesgos cibernéticos, entonces, ¿qué estamos esperando?" pregunta el gerente superior de Conti "Revers", en una conversación el 14 de septiembre de 2021.

Conti fue uno de los primeros en adoptar la práctica de ransomware de "doble extorsión", que consiste en cobrar a la víctima dos demandas de rescate separadas: una a cambio de una clave digital necesaria para desbloquear los sistemas infectados y otra por la promesa de que cualquier dato robado no será publicado ni vendido, y será destruido. De hecho, se puede ver alguna variación del mensaje "necesita descifradores, registros de eliminación" en los chats después de que la pandilla reciba el pago de una víctima.

Las víctimas de Conti eran dirigidas a una página en la web oscura que incluía un temporizador con cuenta regresiva. Las víctimas que no negociaban un pago antes de que expirara el tiempo podían esperar ver sus datos internos publicados automáticamente en el "blog de vergüenza" de las víctimas de Conti.

La "belleza" del enfoque de doble extorsión es que incluso cuando las víctimas se niegan a pagar por una clave de descifrado, quizás porque confían en que pueden restaurar los sistemas a partir de las copias de seguridad, es posible que aún paguen para mantener la brecha en secreto.

"Hola [empresa víctima redactada]", escribió la pandilla en enero de 2022. "Somos Conti Group. Queremos informarle que la red local de su empresa ha sido hackeada y encriptada. Descargamos de su red más de 180 GB de datos confidenciales. Puede ver su página en nuestro blog aquí [enlace dark web]. Su página está oculta pero se publicará si no negocia".

"Llegamos a un acuerdo antes del Año Nuevo", escribió el miembro de Conti "Skippy" más tarde en un mensaje a la empresa víctima. "Tuvieron mucho tiempo, más que suficiente para conseguir la suma y cumplir con su parte de este acuerdo. Sin embargo, ahora solicita tiempo adicional, pruebas adicionales, etc. Parece que se está preparando para romper el acuerdo y huir, o simplemente para disminuir la suma. Además, es una petición y una explicación muy extrañas. Muchas empresas pagan tales cantidades sin ningún problema. Entonces, nuestra respuesta: Estamos esperando la suma antes mencionada hasta el 5 de febrero. Mantenemos nuestras palabras. Si no vemos ningún pago y continúa agregando condiciones, comenzamos a cargar datos. Eso es todo."

Y la reputación de mantener su palabra es lo que hace que grupos como Conti sean tan temidos. Pero algunos pueden llegar a cuestionar la competencia del grupo y si ahora podría ser demasiado arriesgado trabajar con ellos.

El 3 de marzo, una nueva cuenta de Twitter llamada "Trickbotleaks" comenzó a publicar los nombres, las fotos y la información personal de los principales administradores de Trickbot, incluida información sobre muchos de los apodos de Conti mencionados a lo largo de esta historia. La cuenta de Twitter de Trickbotleaks fue suspendida menos de 24 horas después.

El 2 de marzo, la cuenta de Twitter que originalmente filtró los registros del chat de Conti (también conocido como "jabber") publicó registros nuevos de la sala de chat de Conti, lo que demuestra que el infiltrado aún tenía acceso y que Conti no había descubierto cómo lo había logrado.

"¡Ucrania se levantará!", tuiteó la cuenta. "Registros frescos de jabber".

Esta historia continuará (y IV) con algunos de los esquemas extracurriculares de inversión y generación de dinero más interesantes de Conti.

Fuente: Krebs on Security

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!