Una calavera y tibias cruzadas en la pantalla de una computadora están rodeadas de unos y ceros.

Durante meses, los miembros de Conti, que se encuentran entre los más despiadados de las docenas de pandillas de ransomware, se deleitaron compartiendo públicamente los datos que robaron de las víctimas que hackearon. Ahora los miembros pueden experimentar lo que es ser víctima de una importante violación de datos que ha visto derramada toda su ropa sucia, no solo una vez, sino repetidamente.

La serie de filtraciones en desarrollo comenzó el domingo cuando @ContiLeaksuna cuenta de Twitter recién creada, comenzó a publicar Enlaces a registros de mensajes de chat internos que los miembros de Conti se enviaron entre sí.

Dos días después, ContiLeaks un nueva entrega de noticias

Quémalo

ContiLeaks estuvo allí de nuevo el miércoles más chats filtrados. El último informe mostraba encabezados con fechas del martes y miércoles, una indicación de que el filtrador desconocido aún tenía acceso al servidor Jabber/XMPP interno de la banda.

«Hola, ¿cómo estamos?», un empleado de Conti llamado Tort escribió un mensaje a un colega de la pandilla llamado Green el miércoles, según Google Translate. Tort informó además que alguien «borró todas las granjas con una trituradora y limpió los servidores». Tal movimiento sugirió que Conti estaba desmantelando su considerable infraestructura, por temor a que las filtraciones pudieran exponer a los miembros a los investigadores policiales de todo el mundo.

en el otro tuitContiLeaks escribió: «¡Gloria a Ucrania!» Esto implicaba que la filtración estaba motivada, al menos en parte, para responder a una declaración publicada en el sitio web de Conti en la web oscura de que los miembros del grupo «utilizarían toda su capacidad para… tomar acción de represalia si los belicistas occidentales intentan atacar infraestructura crítica en Rusia o cualquier región del mundo de habla rusa”.

KrebsOnSecurity ha informado que ContiLeaks es un investigador de seguridad ucraniano, citando a Alex Holden, el fundador nacido en Ucrania de la firma de inteligencia cibernética Hold Security con sede en Milwaukee. «Es su forma de detenerlos, al menos en el pensamiento», agrega KrebsOnSecurity. Otros investigadores han especulado que el filtrador es un empleado ucraniano o un socio comercial de Conti, que rompió con los líderes de Conti en Rusia cuando se comprometieron a apoyar al Kremlin.

En total, las filtraciones, que están archivadas aquí, documentan casi dos años del funcionamiento interno del grupo. Por ejemplo, el 22 de septiembre de 2020, un líder de Conti que usaba el nombre de Hof reveló que algo parecía terriblemente mal con Trickbot, una botnet venal que Conti y otros grupos criminales usaban para implementar su malware.

«Quienquiera que hizo esa basura lo hizo muy bien», escribió Hof mientras examinaba un misterioso implante que alguien había instalado para engañar a las máquinas infectadas con Trickbot para que se desconectaran del sistema de comando y control.Servidor que les dio instrucciones para desconectarse. “Él sabía cómo funciona el bot, lo que significa que probablemente vio el código fuente o lo deshizo. Además, de alguna manera encriptó la configuración, es decir, tenía un codificador y una clave privada y subió todo al panel de administración. Es solo una forma de sabotaje”.

Habrá pánico… y sigilo

Diecisiete días después de que Hof proporcionara el análisis, el Washington Post informó que el sabotaje fue obra del Comando Cibernético de EE. UU., una rama del Departamento de Defensa encabezada por el director de la Agencia de Seguridad Nacional.

Cuando los miembros de Conti intentaron reconstruir su infraestructura de malware a fines de octubre, la red de sistemas infectados creció repentinamente a 428 instalaciones médicas en los EE. UU., informó KrebsOnSecurity. El liderazgo decidió aprovechar la oportunidad para reiniciar las operaciones de Conti y al mismo tiempo implementar su ransomware en organizaciones de atención médica que colapsaban bajo la presión de una pandemia global.

«A la mierda las clínicas en los EE. UU. esta semana», escribió un gerente de Conti con el objetivo de manejo el 26 de octubre de 2020. «Habrá pánico. 428 hospitales.”

Otros registros de chat analizados por KrebsOnSecurity muestran a los empleados de Conti quejándose de los bajos salarios, las largas horas de trabajo, las rutinas de trabajo extenuantes y las ineficiencias burocráticas.

Por ejemplo, el 1 de marzo de 2021, un empleado de bajo nivel de Conti llamado Carter informó a los supervisores que el fondo de Bitcoin utilizado para pagar suscripciones de VPN, licencias de productos antivirus, servidores nuevos y registros de dominios tenía un déficit de $1240.

Ocho meses después, Carter vuelve a gatear.

«Hola, nos quedamos sin bitcoins», escribió Carter. “Cuatro nuevos servidores, tres suscripciones de VPN y 22 renovaciones están caídas. Dos semanas antes de la renovación por $960 en Bitcoin 0.017. Por favor envíe algunos bitcoins a esta billetera, gracias.”



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí