Quizás te haya pasado alguna vez: estás mirando ropa en una tienda china y descubres que esa prenda que te había llamado la atención no tiene su marca conocida, sino una prácticamente clavada pero que cambia una letra en su denominación.
Esto también ocurre en el mundo del ransomware y la ciberdelincuencia. Los cibermalos también se copian unos a otros de mala manera. Una de las cepas y de los grupos más conocidos y peligrosos cuenta con su particular doppelganger o "antichollo".
Nos referimos a Monti, una sombra del ransomware Conti. La existencia del primero fue descubierta por MalwareHunterTeam en Twitter el pasado 30 de junio. Después Intel471 y BlackBerry publicaron su particular investigación sobre la amenaza hace algo más de un mes.
"Monti podría ser una versión renombrada de Conti o incluso una nueva versión de ransomware que se desarrolló utilizando el código fuente revelado", explicaba Intel471 a principios de año. "Realmente no parece que Monti haya estado involucrado en suficientes actividades como para que la compañía de seguridad establezca una conexión con Conti".
BlackBerry, por su parte, cree que Monti es un mero imitador más que un sucesor legítimo de su homónimo, ya que habría seguido una hoja de ruta paso a paso para imitar las acciones exitosas de Conti.
Este grupo de cibercriminales tiene su sede en Rusia y apoya los objetivos del Kremlin, principalmente en el conflicto con Ucrania.
Según se hace eco Cysecurity News, los actores de amenazas de Monti utilizaron el agente Action1 Remote Monitoring and Maintenance (RMM), y la mayoría de los indicadores de compromiso (IOC) descubiertos por el equipo de BlackBerry IR en el ataque de Monti también se detectaron en ataques anteriores de ransomware de Conti.
¿Qué esá pasando con Conti?
Parece que la actividad de Conti ha ido reduciéndose poco a poco. Algunos expertos señalan que esta ralentización podría deberse a un esfuerzo de cambio de marca similar al que han llevado a cabo otras cepas de ransomware en el pasado.
Una teoría alternativa es que algunas empresas de ransomware as a service (RaaS), como Karakurto o BlackByte podrian haber contratado a algunos miembros de Conti.
Su apoyo a Rusia en el conflicto de Ucrania habría ocasionado el ataque de algunos activistas al grupo revelando muchos datos sensibles, lo que supueso un buen mazazo. Pero Conti no está muerto para nada. El grupo de ransomware continúa muy activo. De hecho, tras dos años de actividad, habría apuntado a un total de más de 160 industrias de todo el mundo e interrumpido las operaciones de más de 850 empresas, agencias gubernamentales y todo un país. Actualmente representaría el 16% de todos los ataques de ransomware.
En un informe específico sobre esta pandilla el proveedor de seguridad Group-IB asegura que su mayor hazaña habría sido comprometer a más de 40 organizaciones en un solo mes. Eso son 1,3 organizaciones cada día.