Conti Ransom Gang comienza a vender acceso a las víctimas – Krebs on Security

los Conti El programa de afiliados de ransomware parece haber modificado su plan de negocios recientemente. Las organizaciones infectadas con el malware de Conti que se niegan a negociar el pago de un rescate se agregan al blog de vergüenza de víctimas de Conti, donde se pueden publicar o vender archivos confidenciales robados a las víctimas. Pero en algún momento durante las últimas 48 horas, el sindicato de ciberdelincuentes actualizó su blog sobre la vergüenza de las víctimas para indicar que ahora está vendiendo acceso a muchas de las organizaciones que ha pirateado.

Una captura de pantalla redactada del blog de vergüenza de víctimas de Conti News.

“Estamos buscando un comprador para acceder a la red de esta organización y vender datos de su red”, se lee en el mensaje redactado confusamente insertado en varias listas de víctimas recientes en el vergonzoso blog de Conti.

No está claro qué motivó los cambios o qué espera obtener Conti de la medida. Tampoco es obvio por qué anunciarían haber pirateado empresas si planean vender ese acceso para extraer datos confidenciales en el futuro. Conti no respondió a las solicitudes de comentarios.

“Me pregunto si están a punto de cerrar su operación y quieren vender datos o acceder desde una brecha en curso antes de que lo hagan”, dijo. Fabián Wosardirector de tecnología de una empresa de seguridad informática Emsisoft. “Pero es algo estúpido hacerlo de esa manera, ya que alertarás a las empresas de que se está produciendo una infracción”.

El cambio inexplicable se produce cuando los legisladores en los Estados Unidos y Europa están avanzando en los esfuerzos para desbaratar algunas de las principales bandas de ransomware. Reuters recientemente reportado que el gobierno de EE. UU. estaba detrás de una operación de piratería en curso que penetró en los sistemas informáticos de REvil, un grupo afiliado de ransomware que, según los expertos, es tan agresivo y despiadado como Conti en el trato con las víctimas. Además, REvil estuvo entre los primeros grupos de ransomware en comenzar a vender los datos de sus víctimas.

El sitio para avergonzar a las víctimas de la red oscura de REvil permanece fuera de línea. En respuesta, un representante de la pandilla Conti publicó un largo discurso el 22 de octubre en un foro de piratería en idioma ruso denunciando el ataque a REvil como el «comportamiento unilateral, extraterritorial y de asalto de bandidos de los Estados Unidos en los asuntos mundiales».

“¿Existe una ley, incluso estadounidense, incluso local en algún condado de cualquiera de los 50 estados, que legitime tal acción ofensiva indiscriminada?” lee la diatriba de Conti. “¿La piratería de servidores es repentinamente legal en los Estados Unidos o en cualquiera de las jurisdicciones de los EE. UU.? Supongamos que existe una ley tan escandalosa que le permite piratear servidores en un país extranjero. ¿Qué tan legal es esto desde el punto de vista del país cuyos servidores fueron atacados? La infraestructura no es volar allí en el espacio o flotar en aguas neutrales. Es parte de la soberanía de alguien”.

La aparente nueva dirección de Conti puede ser poco más que otra estratagema para llevar a las empresas víctimas a la mesa de negociaciones, como en «pague o alguien pagará por sus datos o miseria a largo plazo si no lo hace».

O tal vez algo se perdió en la traducción del ruso (el blog de Conti se publica en inglés). Pero al pasar de la implementación de ransomware a la venta de datos robados y acceso a la red, Conti podría estar alineando sus operaciones con muchos programas afiliados de ransomware de la competencia que recientemente se han centrado en extorsionar a las empresas a cambio de la promesa de no publicar ni vender datos robados. .

Sin embargo, como Sombras digitales señala en un resumen reciente de ransomwarea muchos grupos de ransomware les resulta difícil administrar sitios de fuga de datos o alojar datos robados en la dark web para su descarga.

Después de todo, cuando lleva semanas descargar los datos de una víctima a través de Tor, si es que la descarga tiene éxito, la amenaza de filtrar datos confidenciales como táctica de negociación pierde parte de su amenaza. También es una experiencia de usuario horrible. Esto ha dado lugar a que algunos grupos de ransomware expongan datos a través de sitios web públicos para compartir archivos, que son más rápidos y fiables, pero que pueden eliminarse por medios legales con bastante rapidez.

Los sitios de fuga de datos también pueden ofrecer a los investigadores una forma potencial de infiltrarse en las pandillas de ransomware, como lo demuestra el reciente compromiso informado de la pandilla REvil por parte de las autoridades estadounidenses.

«El 17 de octubre de 2021, un representante de la pandilla de ransomware REvil lo llevó a un foro criminal de habla rusa para revelar que sus sitios de fuga de datos habían sido ‘secuestrados'», Digital Shadows’ ivan righi escribió. “El miembro de REvil explicó que un individuo desconocido accedió a los servicios ocultos de la página de destino y del blog del sitio web de REvil utilizando la misma clave que poseen los desarrolladores. El usuario creía que los servidores de la pandilla de ransomware habían sido comprometidos y que el individuo responsable del compromiso lo estaba ‘buscando'».

Un informe reciente de Mandiant reveló que FIN12 – el grupo que se cree que es responsable tanto de Conti como del Funcionamiento del ransomware Ryuk — ha logrado realizar ataques de ransomware en menos de 3 días, en comparación con los más de 12 días de los ataques que involucran la exfiltración de datos.

Visto a través de esas cifras, tal vez Conti simplemente esté buscando subcontratar más del lado de la filtración de datos del negocio (a cambio de una tarifa, por supuesto) para que pueda concentrarse en la raqueta menos intensiva pero igualmente rentable de implementar ransomware.

“A medida que se acerca el cuarto trimestre, será interesante ver si los problemas relacionados con la gestión de los sitios de fuga de datos desalentarán a los nuevos grupos de ransomware. [from pursuing] el camino de los sitios de fuga de datos, o qué soluciones creativas crearán para solucionar estos problemas”, concluyó Righi. “El grupo de ransomware Ryuk ha demostrado que sigue siendo efectivo y uno de los principales actores en el panorama de amenazas de ransomware sin la necesidad de un sitio de fuga de datos. De hecho, Ryuk ha prosperado al no necesitar un sitio de fuga de datos ni exfiltración de datos”.

¿Que te ha parecido?

Deja un comentario