“Estamos empezando a dar a conocer los datos del Ministerio de Economía de Perú, ¿Creen que esto es un juego? Tienen cinco días para contactarnos a través del chat” sentencia una nota de amenaza de la banda de hackers Conti, por cuyos integrantes el Gobierno de Estados Unidos ya ofrece 10 millones de dólares, la misma recompensa que en 2019 otorgaban por el Chapo Guzmán. La organización criminal, que tiene secuestradas actualmente las bases de datos de por lo menos dos ministerios peruanos y cuatro de Costa Rica, es considerada por Europol y las mayores firmas de ciberseguridad una de las principales amenazas digitales, ya que desde 2020 ha atacado a por lo menos 797 entidades públicas y empresas según información que ellos mismos han compartido.
Su método criminal es el ransomware o secuestro de datos, una modalidad de ciberataque en la que los criminales infiltran las bases de datos con código maligno para inhabilitarlas y después solicitar pagos a sus propietarios. Cuando uno es atacado, los sistemas dejan de funcionar y aparece en la pantalla un conteo regresivo junto aun aviso o ransom note, donde los atacantes indican las condiciones del rescate y una vía para contactarlos. En caso de no recibir respuesta o encontrar resistencia, la organización publica la información acompañada de nuevos comunicados en foros o blogs abiertos al público. Su principal medio para infectar a sus víctimas es a través de correos electrónicos contaminados.
Chainalysis, la firma de peritaje de blockchain más grande del mundo, estima que tan solo en 2021 las bandas que utilizan estas técnicas extorsionaron de sus víctimas por lo menos unos 666,5 millones de euros en rescates pagados con criptomonedas. De este total, Conti se quedó con por lo menos unos 168,5 millones de euros, convirtiéndose en la organización de cibercriminales más lucrativa. El FBI asegura que tres cuartas partes de sus víctimas tienen su sede en los EE. UU, y que los montos que solicitan ascienden hasta 25 millones de dólares.
Una empresa criminal
Empresas de ciberseguridad como Bitdefender y Palo Alto Networks han investigado a la banda, y han conseguido desvelar algunas características de su modus operandi. “Conti se dedica a alquilar su software maligno a afiliados, un sistema conocido como Ransomware as a Service. A cambio, se queda con una parte de las ganancias de sus clientes. Estas organizaciones están formadas por personas con una gran experiencia en ciberdelincuencia y que están bien conectadas con otros grupos de ciberdelincuentes de todo el mundo”, explica Bogdan Botezatu, director de investigación de amenazas de Bitdefender, a esta publicación.
Según Botezatu, Conti está organizada como cualquier corporación y sus integrantes provienen principalmente de Rusia y del antiguo bloque soviético. Tienen departamentos dedicados a la creación de software, a reclutar nuevos «partners de negocio», departamentos de logística para comprar o comercializar servicios, así como ingenieros de infraestructura para mantener su red de servidores y formas de pago. Adicionalmente, también cuentan con contables que procesan pagos, distribuyen beneficios, gestionan descuentos o blanquean rescates. De hecho, investigaciones recientes indican que algunos de sus miembros incluso tienen sueldo fijo y vacaciones.
Los miembros de Conti utilizan diferentes herramientas para trabajar. “Por lo general, se comunican internamente a través de protocolos de mensajería instantánea como Jabber, que proporciona un alto nivel de anonimato, ya que estas cuentas no están vinculadas con una dirección de correo electrónico o un número de teléfono móvil”, añade Botezatu, que después aclara que para comunicarse con sus víctimas también utilizan servicios altamente cifrados de correo electrónico para evitar ser rastreados. Por otra parte, para acceder a los sistemas infectados emplean herramientas como Cobalt Strike o PowerShell.
Los más despiadados
Alex Hinchliffe, analista de Inteligencia contra Amenazas de la empresa de ciberseguridad Palo Alto Networks, asegura que la banda es especialmente brutal con sus víctimas: “Conti siempre ha destacado como una de las bandas de ransomware más despiadadas desde su aparición en 2020. Operan sin el ‘código de honor’ que otros actores dicen mantener cuando se trata de atacar a víctimas vitales o particularmente vulnerables”. Hinchliffe forma parte de Unit 42, la división especializada de Palo Alto Networks que investiga a Conti y otras bandas de ransomware. En esta línea resalta que en promedio la banda exige entre 1,5 y 3 millones de dólares a sus víctimas, pero que en el caso de los Gobiernos ha solicitado 20 millones a cambio de “dejar libres” a otras entidades de los países.
Desde Unit 42 también destacan que, desde el inicio de la pandemia, Conti ha atacado hospitales y servicios médicos de emergencia. Uno de sus ataques más brutales fue a Irlanda en 2021: “El país aún tiene que recuperarse de un ataque a mediados de mayo que provocó el cierre de toda la red informática del sistema de salud de la nación, lo que provocó la cancelación de citas, el cierre de los sistemas de rayos X y retrasos en las pruebas de COVID”. Este ataque se cobró la vida de pacientes que dependían de las instalaciones sanitarias, y los daños le costarán al Gobierno irlandés unos 100 millones de dólares.
La conexión rusa
Conti tiene además una dimensión política e ideológica. De hecho, al inicio de la invasión de Ucrania, la banda manifestó a través de distintos canales que se alineaba con el Gobierno de Vladimir Putin. Bernhard Schneider, analista de la ONG especializada en ciberseguridad Cyberpeace Institute, asegura que esto generó división entre algunos de sus asociados de otros países de Europa del Este. Esto se tradujo en una filtración de información de los chats de la organización, como por ejemplo la prohibición de atacar objetivos rusos con sus programas, la intención de hackear al opositor ruso Alexei Navalny, entre otros.
Curiosamente, la falta de cooperación del Gobierno ruso hace casi imposible actuar en contra de Conti. “La conexión es difícil de probar. Lo que no es difícil de demostrar es el nivel de impunidad con que estas organizaciones operan en Rusia. No se les persigue y hay una barrera que está bloqueando las investigaciones. A diferencia de otros países como Rumania, donde también se ubican estas organizaciones, el Gobierno ruso no tiene ningún interés en colaborar con las autoridades internacionales. No podemos probar que colaboran con ellos, pero es evidente que hay una aprobación implícita de sus actividades”, asegura Klara Jordan, jefa de políticas públicas de Cyberpeace Institute a este medio.
Las filtraciones también han permitido a las autoridades y firmas de ciberseguridad extraer nueva información sobre los proyectos de la banda: “Algo que aprendimos de las filtraciones es que no solo están involucrados en operaciones de ransomware, sino que en ocasiones solo roban la información y la venden en mercados de la deepweb. Algunos integrantes hablaban de crear su propia plataforma de criptomonedas o sus propias redes sociales, se planteaba también operar un Casino digital”, señala Schneider.
En este contexto, Europol advierte que el modelo de negocio de las bandas como Conti está evolucionando. “Hay una expansión del mercado para la ‘venta de acceso’ a infraestructura comprometida y brechas de datos en la Deepweb. Por otra parte, las operaciones de ransomware han incrementado su enfoque en ataques de alto valor dirigidos a grandes organizaciones y sus cadenas de suministro. Los criminales también contactan a periodistas, clientes de las víctimas y socios comerciales como medidas coercitivas utilizadas para presionar a las víctimas a pagar los rescates”, ha señalado Jan Op Gen Oorth, portavoz de Europol a este medio.
La respuesta de las autoridades
Europol, que incluyó a Conti entre las principales amenazas cibernéticas dentro de su reporte del cibercrimen de 2021, asegura que está colaborando con autoridades internaciones y las principales firmas de ciberseguridad para recaudar información y generar herramientas que permitan combatir el ransomware. De hecho, esta cooperación ya ha permitido que en el último año se capture a cinco miembros de la banda de hackers Sodinokibi/REvil y que se desactive la red de malware EMOTET, dos organizaciones que realizaban operaciones similares a Conti. Cabe resaltar que los especialistas intuyen que Conti y otras bandas intercambian miembros, y que en este sentido algunas organizaciones pueden estar vinculadas entre sí.
Por otra parte, a través del proyecto “No more ransom”, las autoridades europeas han puesto a disposición del público más de 150 herramientas gratuitas para recuperar los datos encriptados por el software maligno, incluidos los de organizaciones criminales como DarkSide y FenixLocker. Su catálogo cuenta también con una herramienta para descifrar AES_NI Ransom, un programa de encriptación similar al que utiliza Conti, sin embargo, por el momento no está disponible una herramienta específica para recuperar los datos que estén codificados por estos delincuentes.