Diarios del grupo Ransomware #Conti (I - Evasión)

Traducción libre del artículo original "Conti Ransomware Group Diaries, Part I: Evasion" de Brian Krebs

Un investigador de seguridad ucraniano filtró esta semana varios años de registros de chat internos (en inglés) y otros datos confidenciales vinculados a Conti, un agresivo y despiadado grupo ruso de ciberdelincuencia que se enfoca en implementar su ransomware en empresas con más de U$S 100 millones en ingresos anuales. En total se publicaron 393 archivos JSON con 60.694 conversaciones internas del grupo, incluido el código fuente de sus aplicaciones.

Los registros de chat ofrecen una visión fascinante de los desafíos de administrar una empresa criminal en expansión con más de 100 empleados asalariados. Los registros también brindan información sobre cómo Conti ha enfrentado sus propias infracciones y ataques internos de empresas de seguridad privada y gobiernos extranjeros.

Conti aparece en los titulares de las noticias internacionales cada semana cuando publica en su blog de la deep web nueva información robada a las víctimas de ransomware que se niegan a pagar una demanda de extorsión.

En respuesta a la invasión rusa de Ucrania, Conti publicó un comunicado anunciando su "apoyo total a Rusia". "Si alguien decide organizar un ataque cibernético o cualquier actividad de guerra contra Rusia, utilizaremos todos nuestros recursos posibles para contraatacar las infraestructuras críticas de un enemigo", decía la publicación del blog de Conti.

El domingo 27 de febrero, una nueva cuenta de Twitter, "Contileaks", publicó enlaces a un archivo de mensajes de chat tomados de la infraestructura de comunicaciones privadas de Conti, que datan desde el 29 de enero de 2021 hasta febrero de 2022. Gritando "Gloria a Ucrania", la cuenta de Contileaks ha publicado conversaciones adicionales de empleados de Conti desde el 22 de junio de 2020 hasta el 16 de noviembre de 2020.

La cuenta de Contileaks no respondió a las solicitudes de comentarios. Pero Alex Holden, el fundador nacido en Ucrania de la firma de inteligencia cibernética Hold Security, con sede en Milwaukee, dijo que la persona que filtró la información no es un ex- afiliado de Conti, como muchos en Twitter han asumido.

Más bien, dijo, el filtrador es un investigador de seguridad ucraniano que ha elegido quedarse en su país y luchar. "La persona que publica esto es un ucraniano y un patriota", dijo Holden. "Está viendo que Conti está apoyando a Rusia en su invasión de Ucrania, y esta es su manera de detenerlos al menos en su mente".

BRECHA #1

Las brechas temporales en estos registros de chat corresponden aproximadamente a momentos en que la infraestructura de TI de Conti fue desmantelada y/o infiltrada por investigadores de seguridad, empresas privadas, fuerzas del orden y agencias de inteligencia nacionales.

Los agujeros en los registros de chat también coinciden con períodos de relativa inactividad del grupo, ya que buscaba restablecer su red de sistemas infectados y despedir a su personal de bajo nivel como medida de seguridad.

El 22 de septiembre de 2020, la Agencia de Seguridad Nacional (NSA) de EE.UU. inició una operación de una semana en la que tomó el control de la botnet Trickbot (diagrama), una maquinaria criminal de malware que ha infectado millones de computadoras y que a menudo se usa para propagar ransomware.

Conti es uno de varios grupos de ciberdelincuencia que ha utilizado regularmente Trickbot para implementar malware. Una vez que tuvieron el control de Trickbot, los atacantes de la NSA enviaron a todos los sistemas infectados un comando diciéndoles que se desconectaran de los servidores de Internet que los señores de Trickbot usaban para controlar las computadoras Microsoft Windows comprometidas. Además de eso, la NSA introdujo millones de registros falsos sobre nuevas víctimas en la base de datos de Trickbot.

La noticia del compromiso de Trickbot se publicó por primera vez el 2 de octubre de 2020, pero los chats de Conti filtrados muestran que los líderes del grupo detectó que algo estaba mal solo unas horas después del compromiso inicial de la infraestructura de Trickbot el 22 de septiembre.

"El que hizo esta basura lo hizo muy bien", escribió "Hof", el identificador elegido por un alto líder de Conti, al comentar sobre el implante de malware Trickbot que fue suministrado por la NSA y se extendió rápidamente al resto de la red de bots.

"Sabía cómo funciona el bot, es decir, probablemente vio el código fuente o hizo reversa. Además, de alguna manera cifró la configuración, es decir, tenía un codificador y una clave privada, y además lo cargó todo en el panel de administración. Es solo una especie de sabotaje. Además, los bots se han modificado con una configuración que simplemente los deja inactivos", explicó Hof a su equipo el 23 de septiembre de 2020.

Hof señaló que el intruso incluso cambió el mecanismo de recuperación a prueba de fallas incorporado de Trickbot. Trickbot se configuró de modo que si no se podía acceder a ninguno de los servidores de control de la red de bots, los bots aún podrían recuperarse y controlarse registrando un nombre de dominio precalculado en EmerDNS, un sistema de nombres de dominio descentralizado basado en la moneda virtual Emercoin. "Lo siento, pero esto estamos jodido. No sé cómo recuperarlos", escribió Hof. 

A la pandilla Conti le llevaría varias semanas reconstruir su infraestructura de malware e infectar decenas de miles de nuevos sistemas Microsoft Windows. A finales de octubre de 2020, la red de sistemas infectados de Conti había crecido hasta incluir 428 instalaciones médicas en todo Estados Unidos. Los líderes de la pandilla vieron la oportunidad de crear pánico generalizado, si no también caos, al implementar su ransomware simultáneamente en cientos de organizaciones de atención médica estadounidenses que ya estaban luchando en medio de la pandemia mundial. "A la mierda las clínicas en los EE.UU. esta semana", escribió el gerente de Conti "Target" el 26 de octubre de 2020. "Habrá pánico en 428 hospitales".

El 28 de octubre, el FBI y el Departamento de Seguridad Nacional de EE. UU. organizaron apresuradamente una conferencia telefónica con ejecutivos de la industria de la salud advirtiendo sobre una "amenaza inminente de ciberdelincuencia para los hospitales y proveedores de atención médica de EE.UU."

Los informes de seguimiento confirmaron que al menos una docena de organizaciones de atención médica fueron atacadas con ransomware esa semana, pero aparentemente la "carnicería" no fue mucho peor que una semana típica en el sector de la atención médica.

Un líder en seguridad de la información en la industria de la salud dijo en ese momento que no era raro que la industria viera al menos un hospital o centro de atención médica atacado con ransomware todos los días.

BRECHA #2

La brecha más reciente en los registros de chat de Conti corresponde a una operación policial internacional del 26 de enero de 2021 para tomar el control de Emotet, una variante de malware prolífica y una plataforma de ciberdelincuencia como servicio que Conti utilizó mucho.

Después del derribo de Emotet, el grupo Conti se reorganizó una vez más, y todos se vieron obligados a elegir nuevos apodos y contraseñas. Los registros muestran que Conti hizo un esfuerzo especial para ayudar a uno de sus miembros mayores, Alla Witte, una mujer letona de 55 años arrestada el año pasado bajo sospecha de trabajar como programadora para el grupo Trickbot.

Los registros de chat indican que Witte se convirtió en una especie de figura materna para muchos de los jóvenes del personal de Conti, y después de su arresto, los líderes de Conti comenzaron a planear una forma de pagar su defensa legal.

"Me dieron un abogado, dijeron que el mejor, además de excelentes conexiones, conoce al investigador, conoce al juez, es un abogado federal allí, con licencia, etc., etc.", escribió "Mango", un gerente de nivel medio dentro de Conti, a "Stern", un capataz de Conti de rango alto que frecuentemente pedía a varias unidades de la pandilla actualizaciones sobre sus asignaciones diarias.

Stern estuvo de acuerdo en que este era el mejor curso de acción, pero no está claro si se llevó a cabo con éxito. Además, es posible que todo el esquema no haya sido tan altruista como parecía: Mango sugirió que pagar los honorarios del abogado de Witte también podría darle al grupo acceso interno a información sobre la investigación en curso del gobierno sobre Trickbot.

"Intentemos encontrar una manera de llegar a su abogado ahora mismo y ofrecerle vender directamente los datos sin pasar por ella", sugiere Mango a Stern el 23 de junio de 2021. El FBI ha estado investigando a Trickbot durante años y está claro que en algún momento el gobierno de EE.UU. compartió información con los rusos sobre los delincuente informáticos que sospechaban que estaban detrás de Trickbot.

Al leer estos registros, también queda claro que los rusos hicieron poco con esta información hasta octubre de 2021, cuando los principales generales de Conti comenzaron a recibir consejos de sus fuentes policiales rusas de que la investigación se estaba reavivando.

"Nuestro antiguo caso se reanudó", escribió el miembro de Conti "Kagas" en un mensaje a Stern el 6 de octubre de 2021. "El investigador dijo porqué se reanudó: los estadounidenses solicitaron oficialmente información sobre los delincuentes  informáticos rusos, no solo sobre nosotros, en general de todos los que han sido atrapados en el país. En realidad, están interesados ​​en el Trickbot y algunos otros virus. El próximo martes, el investigador nos llamó para conversar, pero por ahora, es como [nos están llamando como] testigos. Así si se suspende el caso, no nos pueden interrogar de ninguna manera, y de hecho, por eso lo reanudaron. Ya nos hemos puesto en contacto con nuestros abogados".

 Increíblemente, otro miembro de Conti interviene en la discusión y dice que se le aseguró al grupo que la investigación no llegará a ninguna parte desde el lado ruso, y que toda la investigación de los investigadores locales se cerraría a mediados de noviembre de 2021.

Parece que los investigadores rusos estaban más interesados ​​en perseguir a un importante competidor de Conti: REvil, un grupo de ransomware ruso igualmente despiadado que también se dirigía principalmente a grandes organizaciones que podían pagar grandes demandas de rescate.

El 14 de enero de 2022, el gobierno ruso anunció el arresto de 14 personas acusadas de trabajar para REvil. El Servicio de Seguridad Federal de Rusia (FSB) dijo que las acciones se tomaron en respuesta a una solicitud de funcionarios estadounidenses, pero muchos expertos creen que la represión fue parte de una estratagema cínica para calmar (o distraer) las preocupaciones públicas sobre las acciones belicosas del presidente ruso Vladimir Putin en las semanas antes de su invasión de Ucrania.

Los mensajes de Conti filtrados muestran que TrickBot se cerró efectivamente a principios de este mes. Como señala Catalin Cimpanu en The Record, los mensajes también contienen copiosas negociaciones de rescate y pagos de empresas que no habían revelado una violación o un incidente de ransomware (y de hecho habían pagado a Conti para asegurar su silencio).

Además, hay cientos de direcciones de bitcoin en estos chats que sin duda resultarán útiles para las organizaciones encargadas de hacer cumplir la ley que buscan rastrear las ganancias del grupo. Esta es la primera de varias historias sobre el funcionamiento interno de Conti, basadas en los registros de chat filtrados.

La Parte II se mostrarán los mensajes privados intercambiados por los empleados de Conti que trabajan en diferentes unidades operativas, y explora algunos de los desafíos más únicos y persistentes que enfrentan las organizaciones ciberdelincuentes a gran escala en la actualidad.

Fuente: Krebs on Security

Suscríbete a nuestro Boletín