Alrededor de 400 archivos que almacenan más de 6.000 mensajes privados intercambiados por los operadores del ransomware Conti han sido filtrados en internet después de que el grupo de ciberdelincuencia anunciara su "apoyo total" a Rusia en una publicación de blog compartida el pasado viernes, solo un día después de que las tropas rusas comenzaran a invadir Ucrania.
"Si alguien decide organizar un ciberataque o cualquier actividad de guerra contra Rusia, utilizaremos todos nuestros recursos posibles para contraatacar las infraestructuras críticas de un enemigo", declaró Conti en dicha publicación, según informó Reuters. Posteriormente, el grupo actualizó su declaración para apuntar lo siguiente: "No nos aliamos con ningún gobierno y condenamos la guerra en curso. Sin embargo, dado que se sabe que Occidente libra sus guerras principalmente contra civiles, utilizaremos nuestros recursos para contraatacar si el bienestar y la seguridad de los ciudadanos pacíficos están en juego debido a la ciberagresión estadounidense".
La filtración de los chats internos de Conti
Solo unos días después de que Conti se posicionara claramente a favor de Rusia, el grupo ha sufrido una filtración de más de 6.000 mensajes internos. Según Bleeping Computer, el encargado de hacer públicos estos archivos es un investigador de ciberseguridad ucraniano, aunque otros medios señalan que el responsable es un miembro del grupo Conti de origen ucraniano.
Tal y como indica TechCrunch, la fuga se compartió con VX-Underground, un grupo de investigación de malware que recopila muestras y datos de malware.
Conti ransomware group previously put out a message siding with the Russian government.
— vx-underground (@vxunderground) February 27, 2022
Today a Conti member has begun leaking data with the message "Fuck the Russian government, Glory to Ukraine!"
You can download the leaked Conti data here: https://t.co/BDzHQU5mgw pic.twitter.com/AL7BXnihza
"La filtración es un golpe significativo para Conti, sobre todo porque sus afiliados y otros asociados habrán perdido la confianza en la operación. Sin duda se preguntarán cuándo se comprometió la operación, si la policía estuvo involucrada y si hay alguna pista que pueda conducir a ellos", ha afirmado Brett Callow, experto en ransomware y analista de amenazas de Emsisoft, según recoge TechCrunch.
"Muchas operaciones de RaaS tienen conexiones con Ucrania, incluidas las que tienen su sede en Rusia. Por lo tanto, es un error táctico que un grupo tome partido públicamente, ya que corre el riesgo de enfadar a las personas que tienen conocimiento interno de sus operaciones", ha apuntado Callow.
Bleeping Computer explica que la filtración incluye 393 archivos JSON que contienen un total de 60.694 mensajes internos de Conti desde el 21 de enero del año pasado hasta la actualidad. Esto supone gran parte de sus conversaciones privadas, ya que el grupo comenzó a operar en julio de 2020.
"Estas conversaciones contienen diversa información sobre las actividades de la pandilla, incluidas víctimas no denunciadas anteriormente, URL de fuga de datos privados, direcciones de bitcoin y discusiones sobre sus operaciones", señala Bleeping Computer.
Entre las conversaciones filtradas, este mismo medio pone como ejemplo una en la que hablaban sobre la operación de ransomware Diavol de Conti/Trickbot y otra en la que discutían acerca del cierre de la operación de malware TrickBot, que se produjo la semana pasada. No obstante, los expertos de ransomware ya están analizando detenidamente los archivos para poder obtener más información sobre las operaciones internas de Conti y se espera conocer mucha más información en las próximas semanas.