Las infames pandillas de ransomware Conti y REvil/Sodinokibi parecen haber restado importancia al impacto de las luchas internas internas y las acciones dirigidas por el gobierno contra sus nefastas actividades, si la inteligencia que ahora surge de la comunidad de seguridad sirve de algo.
Como ya sabrán los seguidores habituales de la telenovela de las bandas de ransomware, Conti, que es famosa por robar datos y luego filtrarlos, se vio afectada por una serie de filtraciones a finales de febrero de 2022, después de que declarara su apoyo a Rusia. guerra en Ucrania.
Esta acción probablemente alienó a varios miembros del grupo en Ucrania y resultó en una avalancha de nueva inteligencia para que los analistas la digirieran.
Mientras tanto, REvil parecía haber sido eliminado por acciones coordinadas de aplicación de la ley durante un breve período de tiempo cuando los EE. UU. y Rusia se alinearon en la acción anti-ransomware, luego de las reuniones entre Joe Biden y Vladimir Putin durante 2021.
Pero como veremos, Conti permanece muy activo y REvil parece estar de vuelta en el negocio.
Entonces, ¿qué hay de nuevo y qué deben hacer los profesionales de la seguridad al respecto?
Según Secureworks, que rastrea a Conti como Gold Ulrick en su matriz de actores de amenazas, la pandilla se ha mantenido ocupada, se ha adaptado rápidamente en respuesta a la divulgación pública de sus comunicaciones y detalles operativos, y su actividad está actualmente cerca de los niveles máximos vistos en 2021.
Fuga de datos
Los analistas de la Unidad de Contraamenazas (CTU) de Secureworks revelaron recientemente que el sitio de fugas de Conti enumeró un promedio de 43 víctimas cada mes en 2021, con un pico de 95 en noviembre, antes de caer durante el período de Navidad. Luego se recuperó nuevamente hasta el 27 de febrero de 2022, cuando el identificador de Twitter @ContiLeaks comenzó a filtrar datos. A pesar de esto, el número de víctimas publicadas en marzo aumentó a más de 70.
“Aunque estos tipos de filtraciones podrían haber llevado a algunos grupos de amenazas a modificar sus métodos o herramientas de comunicación, Gold Ulrick parece haber continuado e incluso aumentado el ritmo de sus operaciones sin interrupciones”, dijo el equipo de CTU en una publicación de blog recientemente actualizada.
“Jordan Conti, miembro de Gold Ulrick, confirmó esta continuación y el impacto mínimo de las revelaciones en una publicación del 31 de marzo de 2022 en el foro clandestino RAMP.
“Los investigadores de CTU observaron previamente a esta persona publicitando a Conti, brindando actualizaciones sobre los esfuerzos de eliminación y reclutando afiliados”, dijeron.
La publicación afirma que el sitio solo enumera a las víctimas que no han pagado, procedimiento estándar para un sitio de doble explotación de nombre y vergüenza, e implica que Conti tiene una tasa de éxito de pago del 50%, por lo que puede existir el doble de ese número de víctimas, aunque el equipo de CTU aún no ha verificado estas afirmaciones.
El personaje de ‘Jordan Conti’ también indicó que la pandilla planea desarrollar su ransomware, métodos de intrusión y enfoques para trabajar con datos. Esto ha sido confirmado por los investigadores Marc Elias, Jambul Tologonov y Alexandre Mundo de Trellix (de soltera McAfee Enterprise), que también publicaron recientemente nueva inteligencia sobre la orientación de Conti a los hipervisores VMware ESXi con una variante Linux de su ransomware. El equipo de Trellix detectó Conti para Linux cargado de forma salvaje el 4 de abril y afirma que esta es la primera muestra conocida públicamente.
La existencia de Conti para Linux no es nada nuevo: la primera mención de una variante de Linux se remonta a mayo de 2021, pero las conversaciones filtradas entre pandilleros sugieren que tenía múltiples errores y pasó por un largo proceso de desarrollo, incluidas pruebas en vivo con víctimas del mundo real. , muchos de los cuales aparentemente se quejaron de que cuando pagaron el rescate, el descifrador no funcionó correctamente.
En un caso, la pandilla exigió un rescate de $20 millones, pero se vio obligada a conformarse con $1 millón porque algo salió mal: esta víctima en particular también rechazó el descifrador a pesar de pagar.
Trellix dijo que su inteligencia refuerza que, a pesar de las filtraciones y el daño a la reputación sufrido, la pandilla no va a ninguna parte y ha encontrado el tiempo para seguir trabajando en su “producto”.
“El análisis de las filtraciones de Conti reveló que los actores de amenazas están ajustando y mejorando continuamente su variante de ransomware para Linux, y es probable que en el futuro veamos más de sus acciones contra organizaciones occidentales”, dijeron.
“Dado que la muestra del ransomware Conti que analizamos se subió recientemente a VirusTotal, suponemos que el grupo de ransomware todavía está realizando sus campañas y operaciones cifrando datos de empresas de todo el mundo y extorsionándolas para que paguen un rescate para su propio beneficio personal. ”
REvil: No todo lo que puede parecer
Mientras tanto, REvil, o quizás más exactamente alguien que dice ser REvil, apareció de nuevo el 20 de abril y fue detectado rápidamente por la comunidad.
Los investigadores informaron que los servidores de REvil en la red Tor se dirigían a una operación aparentemente nueva, de ahí la falta de claridad en la actualidad sobre lo que realmente está sucediendo: puede haber conexiones con miembros aún prófugos de la pandilla REvil, o incluso otros. pandillas de ransomware, indicios de la presencia de los cuales se han inferido.
De acuerdo a computadora pitido, el sitio de filtraciones ‘Happy Blog’ revivido enumeró 26 víctimas (en el momento de escribir este artículo), aunque algunas de ellas parecían ser víctimas mayores.
Quedan muchas preguntas por hacer sobre la supuesta reaparición de REvil, pero una teoría que ha cobrado fuerza sostiene que tras el cierre de los canales de comunicación entre EE. apuntando a organizaciones en Occidente.
El analista senior de amenazas cibernéticas de Digital Shadows, Chris Morgan, dijo: “El posible regreso de REvil coincide con el cierre de los canales para discutir temas de seguridad cibernética entre los Estados Unidos y Rusia. Esta decisión probablemente se tomó debido a la ruptura de las relaciones entre Estados Unidos y Rusia como resultado de la guerra en curso entre Rusia y Ucrania.
“Como resultado, es posible de manera realista que las autoridades rusas hayan abandonado su investigación sobre el grupo o hayan indicado que REvil podría reiniciar sus operaciones.
Morgan agregó: “Actualmente no está claro si el reinicio de la infraestructura asociada con REvil representa un retorno genuino a la actividad para el grupo, una estafa o una posible operación trampa por parte de las fuerzas del orden”.
Consejo de respuesta
Aunque la actividad reciente de Conti y, supuestamente, REvil, ha llamado la atención de la comunidad de seguridad, la resiliencia de las pandillas ciberdelincuentes a raíz de las acciones tomadas en su contra es normal, como se ha demostrado una y otra vez. Esto era, hasta cierto punto, de esperar.
El único factor que ha cambiado en las últimas semanas es, por supuesto, la guerra ilegal de Rusia contra Ucrania, que resultó en el aislamiento y la expulsión de Rusia de muchos sistemas internacionales.
Esto es importante porque aunque los operadores de ransomware han sido históricamente delincuentes motivados financieramente, en lugar de grupos de amenazas persistentes avanzados respaldados por el estado, muchas, si no la mayoría, de las pandillas de ransomware operan fuera de Rusia, y durante mucho tiempo se sospecha que lo hacen con la aprobación de, o al menos la vista gorda del gobierno ruso.
Aunque hay poca evidencia de que Rusia esté orquestando una gran guerra cibernética contra Occidente (el NCSC continúa recomendando a las organizaciones que tomen precauciones razonables), ciertamente es posible que Rusia pueda presionar a más operadores de ransomware para que entren en servicio como un elemento de la guerra cibernética, o que Los operadores de ransomware podrían tomar medidas para apoyar a Moscú por su propia cuenta.
En términos de respuesta inmediata de las organizaciones, hay poco que hacer más que reforzar las defensas existentes contra los ataques de ransomware o implementarlas si aún no lo ha hecho.
Más información sobre las medidas a tomar para defenderse contra los ataques de ransomware está disponible en el Centro Nacional de Seguridad Cibernética del Reino Unido y, como siempre, el consejo principal es concentrarse primero en las copias de seguridad debidamente protegidas de los datos importantes y nunca pagar un rescate, ya que no hay garantía de que sus datos afectados serán restaurados.
