Este es Conti, el nuevo enemigo ‘hacker’ de Costa Rica

El lunes, Costa Rica despertó con una nueva amenaza en frente: un grupo internacional de piratas informáticos extrajo información sensible de instituciones públicas y advirtió al Gobierno que solo devolvería los datos si se les pagaba $10 millones. La organización se hace llamar Conti y opera desde 2019, ¿pero quiénes son realmente estas personas, cómo trabajan y qué buscan obtener? ¿De verdad representan una gran amenaza o únicamente se les debe tratar con cuidado hasta que desistan de su ataque? Léalo aquí.

El reconocido portal We Live Security, de la compañía europea especializada en ciberseguridad ESET, explica que Conti aplica un modelo de malware (software dañino) que pertenece a la familia de los Ransomware as a Service (RaaS). Es decir, que es un grupo que alquila su variante de ransomware (programa extorsivo) –generalmente en la ‘dark web’– para que otros se ocupen de la distribución de la amenaza, a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates (si logran tener éxito).

A finales de noviembre anterior, Conti registraba un total de 599 víctimas acumuladas en todo el mundo y se convirtió en el grupo de ransomware de mayor actividad de 2021. El abogado especialista en derecho informático y capacitador en ciberdelincuencia Adalid Medrano señaló que aunque el grupo es de origen ruso, tiene colaboradores en todo el mundo, ya que su estructura de “ransomware como servicio” se los permite. Incluso existe la posibilidad de que tengan aliados que les ayuden con su operación en Costa Rica.

Los ciberdelincuentes suelen utilizar la modalidad de doble extorsión, también conocida como doxing, que consiste en exfiltrar información confidencial de sus víctimas previo al cifrado, para luego extorsionarlas amenazándolas con publicar la información a menos que paguen el monto de dinero exigido. De esta forma aumentan la presión, ya que no solo se trata de recuperar los archivos cifrados, sino también de evitar una brecha de información que perjudique a la víctima de diversas maneras, como dañando su reputación.

Comúnmente, las víctimas de Conti son organizaciones previamente seleccionadas que cuentan con recursos suficientes para pagar importantes sumas de dinero o que necesitan de su información para poder operar con normalidad. Estas pueden ir desde grandes empresas de industrias como comercio al por menor, manufactura, construcción, salud, tecnología o alimentos, hasta organismos gubernamentales como el Ministerio de Hacienda de un país.

We Live Security destaca que ha sido una de las familias de ransomware más mediáticas del último año y uno de sus ataques más recordados fue el que afectó al sistema de salud pública de Irlanda en mayo de 2021, en plena pandemia, en el cual los criminales solicitaron el pago de $20 millones. En América Latina ya ha afectado a organizaciones de al menos cinco países: Argentina, Brasil, Colombia, Nicaragua y República Dominicana.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) señaló en un reciente informe que también es probable que los desarrolladores de Conti paguen a los implementadores del ransomware un salario, en lugar de un porcentaje de las ganancias, lo que representa una importante diferencia con los demás grupos que se dedican a este tipo de crimen en Internet.

El equipo de ciberdelincuentes obtienen acceso a las redes de sus víctimas mediante robo de credenciales de sitios web, software falsos, llamadas telefónicas, redes de distribución de virus y campañas de phishing que contienen documentos adjuntos maliciosos (como un archivo Word) o enlaces. Estos adjuntos descargan malware como TrickBot, Bazar backdoor o incluso aplicaciones legítimas como Cobalt Strike que son utilizadas de forma infructuosa para realizar movimientos dentro de la red de la víctima y luego descargar el ransomware.

Posteriormente, el programa cifra todos los archivos que existan en el equipo, excepto algunos pocos que no sean tan relevantes. Mientras se cifran los archivos de una carpeta se crea un archivo llamado readme.txt, el cual contiene la nota de rescate con todos los datos necesarios para contactarse con los cibercriminales. Por otro lado, Conti es capaz de buscar equipos en la red que tengan carpetas compartidas en el protocolo SMB.

Al final, los afiliados suelen obtener un 70% de las ganancias obtenidas tras un ataque exitoso, pero en ocasiones este modelo ha derivado en conflictos internos, como en agosto de 2021, cuando un colaborador ucraniano que era investigador de seguridad cibernética filtró 13 meses de datos confidenciales de los sistemas privados de Conti, lo que fue un duro golpe para la organización, pero tampoco nada letal.

El hacker publicó los datos después de que la ciberpandilla expresara su apoyo a Rusia desde su invasión a Ucrania y como un acto de “venganza” porque aparentemente no le habían pagado el monto de dinero que él esperaba por uno de sus trabajos. El archivo contenía al menos 37 manuales y herramientas que el propio grupo les daba a los operadores para que pudieran realizar actividades cibercriminales en perjuicio de sus víctimas.

Los expertos señalan que ante un ataque de ransomware, ya sea Conti u otra familia, nunca recomiendan pagar por el rescate de los archivos afectados. Primero, porque no hay certeza de que los hackers entreguen el descifrador para recuperar los archivos una vez realizado el pago; y por otro lado, porque en caso de pagar se estaría contribuyendo a que el cibercrimen crezca y que este tipo de ataques sean rentables para ellos.

Además, en su operación contra Costa Rica, el grupo ha ido modificando sus aspiraciones según las autoridades empezaron a tomar medidas. Luego de que el Gobierno realizara una exhaustiva revisión de sus sistemas informáticos sin encontrar mayores fallos y reiterara en varias ocasiones que no va a pagar a los ciberdelincuentes, Conti dijo que haría un “descuento” del 35% de su petición original de $10 millones e incluso ofreció no atacar a los servidores del sector privado a cambio de recibir esa menor suma de dinero.

Hasta este viernes, seis instituciones se habían visto afectadas por vulneración de datos.

Modo de trabajo

Copiado!

Este diario conversó con el estratega de FortiGuard Labs de Fortinet para América Latina y el Caribe, Arturo Torres, para conocer más sobre este tipo de organizaciones criminales en Internet y su modo de operar. Fortinet es una de las empresas multinacionales líderes en el desarrollo y la comercialización de software, dispositivos y servicios de ciberseguridad, como firewalls, antivirus y prevención de intrusiones.

–¿Este tipo de ciberestructuras criminales realmente funcionan como una empresa?

–Existe una gran variedad de esquemas de trabajo para el cibercrimen. Por ejemplo, hay variantes de ransomware como WannaCry que cuentan con una estructura sofisticada, la cual incluye traductor de idiomas y hasta un chat de soporte, ya que el objetivo del atacante es obtener el pago del rescate de la información, esto quiere decir que existe toda una organización detrás del código malicioso.

“Por otro lado, se sabe que es cada vez más habitual el modelo de renta de malware, conocido como Ransomware as a Service (RaaS). Además, hay casos donde este modelo permite dividir las ganancias y el creador del Ransomware se queda de un 30% a 40% del dinero por ser el autor del código malicioso”.

LEA MÁS: ¿Qué es ransomware? 25 palabras para entender el ataque a Costa Rica

–¿Cuál es el perfil de estos cibercriminales? ¿Se trata de personas peligrosas y violentas?

–Existen diferentes perfiles de cibercriminales, ya sea por nivel socioeconómico, profesional e inclusive de edad. En general, no se relacionan con violencia física, pero sí son peligrosos por el impacto del daño que pueden producir.

“Un caso reciente es el de los actores del Ransomware ReVil, el cual también cuenta con un modelo de RaaS que recaudó millones de dólares. Recientemente algunos de sus integrantes fueron arrestados por el FBI en una operación conjunta y sus edades rondaban entre los 22 y 28 años”.

–¿Estos grupos cuentan con células locales en los países donde atacan?

–Sin duda, los “insiders o atacantes internos” siempre serán un riesgo para las organizaciones. Es por eso que el modelo de RaaS está tomando tanta relevancia, ya que les permite a estos insiders poder obtener un Ransomware y ejecutarlo desde adentro. Esta es una de las razones del aumento del Ransomware.

LEA MÁS: Estos son los riesgos para Costa Rica de pagar o no pagar a ‘hackers’ que atacan sus sistemas

–¿Cómo funcionan los pagos y el rastreo de esos fondos en estos grupos? ¿Hay bitcoins de por medio?

–En la mayoría de los casos, los pagos solicitados por un Ransomware se realizan a través de un método que mantenga el anonimato, por ejemplo el uso de bitcoins. Sin embargo, también hay casos donde se utilizan otras criptomonedas como Monero.

– ¿Qué es lo que más diferencia a Conti de otros grupos delictivos organizados en Internet?

–Se sabe que Conti utiliza un modelo de RaaS y tiene como objetivo organizaciones de alto perfil, teniendo sus primeras apariciones en el 2019. Además, tiene muchas similitudes con grupos de actores maliciosos como Wizard Spider, quienes han desplegado campañas de Ransomware para el sector salud como Ryuk y Hermes. El FBI emitió una nota de que se han visto operaciones de Conti en más de 1.000 organizaciones a nivel internacional.

LEA MÁS: Plan contra ataques cibernéticos lleva cinco años en papel

–¿Qué tanta fuerza ha tomado el ransomware en el mundo últimamente?

–Durante los primeros cuatro meses del 2022 hemos detectado más de 200.000 intentos de distribuciones de ransomware a nivel global, en donde Latinoamérica representa un 10% de dichas detecciones con un total de 20.891 intentos de distribución de ransomware en la región. Siendo México (15K), Costa Rica (3,7K) y Colombia (1,1K) los países con más detecciones de esta amenaza.

“Cabe mencionar que las campañas de ransomware más activas hasta ahora son ReVil, Thanos, Lockbit, Ryuk, Locky, Conti y Hive. Por otro lado, se ha detectado un incremento considerable en Costa Rica en las primeras dos semanas de abril (3.000 detecciones), lo cual representa el 80% de intentos de ransomware en lo que va del año en este país”.

LEA MÁS: Empresarios urgen al Gobierno acciones para evitar más ciberataques