Conti es la familia de ransomware más prolífica, estando presente en el 16% de los ataques de este tipo. Después de dos años de vida, un estudio publicado en julio recogía que hasta el momento había apuntado a más de 160 industrias de todo el mundo e interrumpido las operaciones de más de 850 empresas, agencias gubernamentales y un país entero.
Por eso no resulta raro que a los que han sido miembros de esta célebre y peligrosa pandilla de ciberdelincuentes se los rifen.
Threat Analysis Group (TAG), una unidad dentro de Google dedicada al rastreo de ciberamenazas vinculadas a grupos de estado nación, ha identificado que antiguos miembros de Conti están echando una mano a Rusia en su ciberguerra paralela contra Ucrania.
Desde abril hasta agosto de 2022, TAG ha estado siguiendo a "un número cada vez mayor de actores de amenazas motivados financieramente que apuntan a Ucrania, cuyas actividades parecen estar estrechamente alineadas con los atacantes respaldados por el gobierno ruso", comenta el responsable de la unidad, Pierre-Marc Bureau.
Uno de estos actores respaldados por el estado ruso habría sido denominado por CERT, el equipo nacional de respuesta a ciberamenazas de Ucrania como UAC-0098, según informa The Verge.
“Con base en múltiples indicadores, TAG evalúa que algunos miembros de UAC-0098 son ex miembros del grupo de ciberdelincuentes Conti que reutilizan sus técnicas para apuntar a Ucrania”, explican desde la unidad de Google.
Curtidos en mil batallas
UAC-0098 ha estado usando un troyano bancario conocido como IceD para llevar a cabo ataques de ransomware.
Los investigadores de la firma de Mountain View aseguran que aunque las motivaciones de estos ex miembros de Conti siguen siendo económicas también son políticas. Además, indican que están usando su dilatada experiencia para operar como intermediarios de acceso inicial: primero comprometen un sistema informático y luego venden el acceso a otros actores interesados en explotar el objetivo.
Este nuevo grupo habría estado involucrado en el envío de correos de phising a varios organizaciones en la industria hotelera de Ucrania, apuntar a ONGs humanitarias de Italia, hacerse pasar por Starlink, explotar la vulnerabilidad de Follina en los sistemas Windows.
Conti manifestó abiertamente su apoyo a Rusia en la invasión de Ucrania, aunque esto tuvo sus consecuencias. Como 'castigo' un individio filtró el acceso a más de un año de registros de su chat interno, haciendo bastante 'pupa' a la pandilla de ransomware.