Diarios del grupo Ransomware #Conti (y IV - Cryptocrime)

Traducción libre del artículo original "Conti Ransomware Group Diaries, Part IV: Cryptocrime" de Brian Krebs

Ya contamos tres historias sobre Conti y se analizamos detenidamente varios años de registros de chat internos robados de la pandilla de ransomware más rentable y en funcionamiento en la actualidad.

Los mensajes revelaron cómo Conti evadió las agencias de inteligencia y las fuerzas del orden, cómo era un día típico en la oficina de Conti y cómo Conti manejaba el armamento digital utilizado en sus ataques. Esta publicación final sobre las conversaciones de Conti explora diferentes esquemas que Conti persiguió para invertir y robar criptomonedas.

Cuando eres quizás el grupo de ransomware más exitoso (Conti ganó U$S 180 millones el año pasado en pagos de extorsión, mucho más que cualquier otro grupo criminal, según Chainalysis) tiendes a tener mucha moneda digital como Bitcoin.

Esta riqueza le permitió a Conti hacer cosas que los inversores habituales no podían, como mover el precio de las criptomonedas en una dirección u otra. O construir una plataforma de criptomonedas y sembrarla con montones de criptomonedas mal habidas de inversionistas fantasmas.

Un alto directivo de Conti, acertadamente llamado "Stern" porque incesantemente aguijoneaba a los subordinados de Conti para que completaran las tareas asignadas, estaba obsesionado con la idea de crear su propio esquema criptográfico para aplicaciones de cadena de bloques multiplataforma.

"Soy adicto en este momento, estoy interesado en el comercio, defi, blockchain, nuevos proyectos", dijo Stern a "Bloodrush" el 3 de noviembre de 2021. "Las grandes empresas tienen demasiados secretos a los que se aferran, pensando que este es su principal valor, estas patentes y datos".

En un hilo de discusión que duró muchos meses en la sala de chat interna de Conti, Stern dijo que el plan era crear su propio universo criptográfico. "Como la cadena inteligente Netherium, Polkadot y Binance, etc.", escribió Stern. "¿Alguien sabe más sobre esto? Estudie los sistemas, el código y los principios de trabajo anteriores. Para construir el nuestro, donde ya será posible enchufar NFT, DEFI, DEX y todas las nuevas tendencias que hay y habrá. Para que otros creen sus propias monedas, intercambios y proyectos en nuestro sistema".

Parece que Stern ha estado pagando a varios desarrolladores para que busquen la idea de construir un sistema basado en peer-to-peer (P2P) para "contratos inteligentes": programas almacenados en una cadena de bloques que se ejecutan siempre que se cumplan condiciones predeterminadas.

No está claro en qué contexto la pandilla Conti estaba interesada en los contratos inteligentes, pero la idea de un grupo de ransomware que insiste en los pagos a través de contratos inteligentes no es del todo nueva. En 2020, investigadores de la Facultad de Ciencias y Tecnología de la Información de la Universidad de Atenas en Grecia mostraron (PDF) cómo las ofertas de ransomware como servicio podrían algún día ejecutarse a través de contratos inteligentes.

Antes de eso, Jeffrey Ladish, consultor de seguridad de la información con sede en Oakland, California, escribió un análisis en dos partes sobre por qué los contratos inteligentes harán que el ransomware sea más rentable.

"Al usar un contrato inteligente, un operador puede vender sin confianza a sus víctimas una clave de descifrado por dinero", escribió "Ladish". "Es decir, una víctima puede enviar algo de dinero a un contrato inteligente con la garantía de que recibirá la clave de descifrado de sus datos o recuperará su dinero. La víctima no tiene que confiar en la persona que pirateó su computadora porque puede verificar que el contrato inteligente manejará el intercambio de manera justa".

El empleado de Conti, "Van", parece haber tomado la iniciativa en la plataforma criptográfica P2P, que dijo que se estaba desarrollando utilizando el lenguaje de programación Rust. "Estoy tratando de crear una red P2P en Rust", le dijo Van a un compañero de trabajo "Demon" el 19 de febrero de 2022. "Lo estoy entendiendo y ya comencé a escribir código". "Es genial que te guste Rust", respondió Demon. "Creo que nos ayudará con los contratos inteligentes".

Aparentemente, Stern creía tanto en sus sueños criptográficos que patrocinó un concurso de escritura de artículos de U$S 100.000 en el foro de ciberdelincuencia en idioma ruso Exploit, y pidió a los solicitantes interesados ​​que presentaran varias ideas para plataformas criptográficas. Dichos concursos son una manera fácil de comprar propiedad intelectual para proyectos en curso y también son herramientas de reclutamiento efectivas para organizaciones ciberdelincuentes.

"¡Concurso de artículos sobre criptomonedas! [100.000$]", escribió el gerente de nivel medio de Conti, "Mango", al jefe Stern, copiando el título de la publicación en el foro Exploit. "¿Qué diablos estás haciendo ahí…"

Unos días después, Mango le informa a Stern que ha "preparado todo tanto para la red social como para los artículos de los concursos de criptomonedas".

¿NEGACIÓN DISTRIBUIDA DE DISCORD?

El 6 de junio de 2021, el subordinado de Conti, "Begemot", lanzó a Stern un plan para estafar a un grupo de personas que extraen monedas virtuales, mediante el lanzamiento de ataques distribuidos de denegación de servicio (DDoS) contra un grupo de minería de criptomonedas.

"Encontramos bifurcaciones jóvenes en los intercambios (aquellos que se pueden minar), analizamos su infraestructura", escribió Begemot. "Compramos a bajo precio. Liberamos DDoS. Crypto crece de nuevo. Ganamos".

JUEGOS DE CALAMAR

Parece que Conti estuvo involucrado en "SQUID", una nueva criptomoneda que resultó ser una estafa gigante en las redes sociales que generó millones de dólares para los estafadores. El 31 de octubre de 2021, el miembro de Conti, "Ghost", envió un mensaje a sus colegas de que un gran plan de "bombeo" para ganar dinero comenzaría en 24 horas. En las estafas de bombeo y descarga basadas en criptografía, los conspiradores usan información engañosa para inflar el precio de una moneda, después de lo cual la venden con una ganancia.

"Ha llegado el gran día", escribió Ghost. "¡Quedan 24 horas para la señal de bomba más grande de todos los tiempos! El objetivo esta vez será de alrededor del 400% de ganancias, posiblemente incluso más. Apuntaremos a un volumen de 100 millones de dólares. Con el mercado alcista en plena vigencia y los volúmenes altos, las probabilidades de alcanzar el 400% de ganancias serán muy altas una vez más. Haremos todo lo que esté a nuestro alcance para asegurarnos de alcanzar este objetivo. Si se ha perdido nuestras grandes y exitosas bombas anteriores, esta es también la que no querrá perderse. Una bomba masiva está a punto de comenzar en solo 24 horas, prepárate".

El mensaje de Ghost no menciona qué plataforma criptográfica sería el objetivo de la estafa. Pero el momento se alinea con un Pump-and-Dump ejecutado contra la criptomoneda SQUID (supuestamente inspirada en la popular serie de Netflix de Corea del Sur). SQUID se ofreció por primera vez a los inversores el 20 de octubre de 2021.

Como informó Gizmodo por primera vez el 1 de noviembre de 2021, justo antes de la estafa, SQUID cotizaba a solo un centavo, pero en menos de una semana su precio había subido a más de U$S 2.856.

Gizmodo se refirió a la estafa como un "tirón de alfombra", que ocurre cuando el promotor de un token digital atrae compradores, detiene la actividad comercial y se lleva el dinero recaudado de las ventas. Los desarrolladores de SQUID se llevaron unos 3,38 millones de dólares.

El sitio web, alojado en SquidGame[.]cash, ha desaparecido, junto con cualquier otra presencia en las redes sociales creada por los estafadores.

Fuente: Krebs on Security

Suscríbete a nuestro Boletín