Conti, la hidra de Lerna del mundo de la ciberseguridad

Han tratado de cortarle la cabeza pero siempre le crecen más. El grupo de ransomware está adoptando nuevos nombres y marcas.

Alberto Payo

Periodista

Guardar

conti ransomware hidra de lerna
conti ransomware hidra de lerna

La Hidra de Lerna era un antiguo monstruo de la mitología griega que algunos señalan que llegó a tener hasta diez mil cabezas. Antes de que Hércules acabara con ella era conocida por su propiedad de regenerar dos cabezas por cada una que perdía.

Si hacemos un paralelismo con el mundo de la ciberseguridad, seguramente el papel de este animal mitológico lo ocuparía el grupo de ransomware Conti. Vinculado con Rusia y con una gigantesca estructura empresarial organizada a su alrededor, es uno de los más peligrosos. En su mano estuvo el ataque al sistema de salud irlandés, que costó 100 millones de dólares. Han intentado acabar con él por activa y por pasiva y ahora le están creciendo nuevas cabezas.

El proveedor de inteligencia de amenazas AdvIntel cuenta cómo la caída del colectivo se lleva desarrollando desde febrero, cuando Conti mostró su apoyo público a Rusia y eso llevó a que vieran filtrada gran parte de su información gracias a muchos hacktivistas. 

Sin embargo, pese a que el cerco al grupo se ha ampliado y el fin parece inminente, se ha encontrado una estrategia para una reorganización y un consiguiente rebranding. 

Los investigadores de AdvIntel aseguran que su cierre no ha sido una decisión "espontánea", sino que se trata de "un movimiento calculado, cuyos signos eran evidentes desde finales de abril". 

A Conti se le habría cerrado el grifo, no obteniendo ningún pago de rescates por los ataques de ransomware desde febrero, según estos expertos en ciberseguridad. Las víctimas de Conti no habrían pagado por miedo a ser sancionadas por el gobierno de EE.UU. Todo esto habría llevado a un necesario cambio de marca para hacerse más difícil de detectar

"Nuestra fuente de inteligencia sensible muestra que a muchas víctimas se les prohibió pagar un rescate a Conti", recoge un post. "Otras víctimas y empresas que habrían negociado pagos de ransomware estaban más dispuestas a arriesgarse al daño financiero de no pagar el rescate que a realizar pagos a una entidad sancionada por el estado".

Para cambiar de marca, los operadores de Conti habrían usado subsidiarias preexistentes, como KaraKurt, BlackByte o BlackBasta con nuevas subdivisiones. 

Una muerte escenificada como parte del plan

"La versión renombrada de Conti, el monstruo que se divide en pedazos y que todavía está muy vivo, aseguró que cualquier forma que los ex afiliados de Conti decidieran tomar, emergerían a la vista del público antes de que se difundiera la noticia de la obsolescencia de Conti, controlando la narrativa en torno a la disolución, además de complicar significativamente cualquier futura atribución de amenazas”, se lee en la publicación del blog de AdvIntel.

En abril Conti realizó un ciberataque masivo contra el gobierno de Costa Rica que puso al país en jaque. La firma asegura que este incidente no tuvo tanto que ver con la obtención de fondos, sino con promover su cambio de marca. 

"El único objetivo que Conti había querido cumplir con este ataque final era usar la plataforma como una herramienta de publicidad, escenificando su propia muerte y posterior renacimiento de la manera más plausible que podría haber sido concebida", señalan los investigadores. "El ataque a Costa Rica ha puesto a Conti en el centro de atención y les ha ayudado a mantener la ilusión de vida por un poco más de tiempo, mientras se llevaba a cabo la verdadera reestructuración".
 

Archivado en: