Los chats de Conti, publicados en Internet en venganza por su apoyo a Putin, revelaron datos importantes de salarios o estructuras de las bandas de ciberdelincuentes que operan desde Rusia.
Por ello, Anonymous se reactivó y se centró en torpedear la censura que
el Kremlin impone a sus ciudadanos, mientras otros grupos han tumbado
infraestructuras como ferrocarriles, fábricas de armas e instituciones
oficiales. En respuesta, y en un inesperado giro de la situación, capos del
cibercrimen alzaron la voz a favor de Putin y avisaron de que cualquiera que
ataque las infraestructuras críticas de Rusia se convertiría en su enemigo.
Una de las mafias que tomó partido fue
Conti, la organización que saca más dinero del cibercrimen a nivel
internacional, según los principales analistas. Pero lejos de amedrentar al
movimiento hacktivista a favor de Ucrania, la jugada de Conti la convirtió en
un objetivo más de la ciberguerra. Apenas unas horas después de que tomara
partido, la mafia veía como se filtraba toda la base de datos de su sistema de
comunicación interno y varios de sus documentos de trabajo. No se conoce a
ciencia cierta quién fue el autor del ataque, aunque los investigadores
sospechan que fue un miembro de la banda de origen ucraniano que se rebeló
contra sus capos.
En lo que sí coinciden varias fuentes
consultadas por periódico digital “elDiario.es” es en que la filtración es
legítima. Se trata de los chats internos de Conti, que han servido para
confirmar muchas de las hipótesis de los expertos en ciberseguridad sobre el
funcionamiento del cibercrimen ruso, además de aportar luz en cuestiones como
su inversión en salarios o sus relaciones con el Kremlin. “Es una mezcla entre
una estructura muy profesional con un funcionamiento que a veces es un poco
chapuzas”, resume Juan Caballero, investigador del Instituto IMDEA Software
(Instituto Madrileño de Estudios Avanzados).
Estructura profesional del ciberataque
Una de las primeras características de
Conti que quedan claras en las revelaciones es que su estructura es muy similar
a la de una compañía privada cuyo negocio es el ciberataque. “Tienen sus
equipos de desarrollo, de soporte, un departamento que se encarga de negociar con
las víctimas, otro que se dedica a blanquear el dinero de las criptomonedas e
incluso uno de captación de talentos. A efectos prácticos no se diferencia
mucho de una empresa de tamaño medio”, expone Josep Albors, director de
Investigación de la firma de ciberseguridad ESET.
Los documentos muestran que la
organización oscila entre los 50 y los 100 empleados según la marcha del
negocio. Conti está especializada en ataques de ransomware, que secuestra los
sistemas informáticos de la víctima y le exige el pago de un rescate por recuperarlos.
“Contratan a gente dependiendo de sus necesidades a través de empresas
pantalla”, continúa Albors. “Dependiendo de las campañas que estén realizando,
refuerzan el equipo de desarrollo de ransomware, fichan a más gente para
conseguir la infiltración inicial o, directamente, contratan a especialistas
para limpiar todas las criptomonedas que consiguen y transformarla en dinero
contante y sonante”.
Hay veces que esas personas saben para
quién están trabajando, pero en ocasiones creen que realizan esas labores para
la empresa pantalla que les ficha.
Conti
Ransomware Gang, cambio BTC/$ / cantidad de víctimas publicadas.
La linea
azul representa el cambio BTC/$, la roja las víctimas publicadas, el ancho de
ésta varía según la cantidad. Ambas están sincronizadas en el tiempo. pic.twitter.com/FSFnrwmXYR
— Marc
Almeida (@cibernicola_es) 20 de marzo de 2022
Ciberdelincuentes mal pagados: “Muchos
están quemados”
Los chats internos de la empresa
muestran las conversaciones del día a día entre sus miembros. Varias
conversaciones han revelado que el salario base de los trabajadores rasos de
Conti está entre los 1.500 y los 2.000 dólares (1.300 a 1.800 euros).
“No es que estén muy mal pagados
teniendo en cuenta los estándares del este de Europa, pero comparado con los
trabajos que pueden tener en su sector, pues sus condiciones en Conti no son
demasiado buenas. Además como tienen víctimas alrededor de todo el mundo tienen
que trabajar 24/7, por lo que hacen turnos y al final trabajan muchas horas”,
apunta Caballero, de IMDEA Software.
“Hay muchos que están quemados”,
detalla el investigador: “Al final es como tener acceso al Slack de una
empresa, donde tienes a los trabajadores de los diferentes departamentos
comunicándose”, apunta Caballero. “Se puede ver a los managers metiendo presión
a los trabajadores y apretándoles. Hay mucha explotación, se ven las quejas de
los trabajadores y que se les va mucha gente por este motivo”, continúa.
Ganancias en dólares de las principales organizaciones del cibercrimen rusas
Según la consultora Chainalysis, Conti
ganó al menos 180 millones de dólares en 2021 (unos 165 millones de euros). Se
trata de un cálculo conservador, basado sobre todo en las criptomonedas que
cobran. Sin embargo, la filtración muestra que solo invierten unos 3 millones
en salarios, por lo que su cúpula está ingresando sumas millonarias.
Atención al cliente: cobrar dos veces
Uno de los departamentos de Conti es
el equipo de “atención al cliente”. Es el que se pone en contacto con la
empresa que ha caído víctima del ciberataque y le explica cómo proceder para
recuperar sus archivos. Pero como cada aspecto de Conti, mezcla estructura
profesional con mafia cibercriminal: llegará el momento en que exija a la
víctima un segundo pago.
“Intentan cobrar una vez a la empresa
a cambio de la llave con la cual pueden desencriptar sus archivos y volver a
tener acceso a sus datos. Ese es el primer pago. Luego intentan obtener un
segundo pago, que es a cambio de no publicar la información a la que han tenido
acceso”, explica Caballero: “Hay empresas que hacen los dos pagos, pero se ve
que hay algunas que les dicen mira, los datos me dan igual porque tengo una
copia de seguridad de los datos y los puedo recuperar, pero lo que quiero es
que no los divulgues”.
Colaboradores comprados
Otro de los detalles que muestran las
filtraciones es que hay otros perfiles fuera de la estructura de Conti que
colaboran para que la mafia consiga sus objetivos a cambio de una comisión. “En
los chats se habla por ejemplo del caso de un periodista que dicen que por un
5% del rescate les puede ayudar a apretarle las clavijas a la víctima,
aumentando la presión para que pague”, revela Caballero.
La mafia también tiene una relación muy estrecha con algunas de las empresas que se dedican a hacer de intermediarias entre las víctimas y Conti. Las conversaciones de sus miembros apuntan a que algunos de los trabajadores de esas empresas les filtran información sobre hasta qué punto pueden apretar a los ciberatacados o si tienen un seguro que vaya a correr con los gastos o no, un detalle al que los gangsters digitales dan mucha importancia para saber si podrán continuar la extorsión en el futuro.
Inversión en antivirus
A través de sus empresas pantalla,
Conti paga por las licencias de varias de las herramientas de ciberseguridad
más avanzadas. Las llevan al laboratorio y las miden contra su ransomware,
entrenándolo hasta que es capaz de superar las barreras del antivirus que
quieren doblegar. “Buena parte de la inversión que realizan es para intentar
evadir las soluciones de seguridad porque saben que son su principal enemigo.
De hecho, muchas de las intrusiones lo primero que intentan hacer es conseguir
acceder al controlador de dominio y desactivar el antivirus si no está
debidamente protegido, porque saben que si no lo hacen se les detecta y se
termina el chollo”, dice Albors, de ESET.
Vínculos con el Kremlin
Los investigadores consultados apuntan
a que no hay indicios en la filtración que señalen que Conti está al servicio
directo del Kremlin. No obstante, los documentos muestran que sus cargos medios
y altos sí tienen una relación fluida con funcionarios rusos.
“Está claro que tienen muchos
contactos. Aparece que ellos siempre intentan contentarles, porque al final uno
de sus principales problemas es evitar que vayan a por ellos”, dice Caballero,
que recuerda que aunque Rusia suele dar manga ancha a las bandas de
cibercriminales que operan desde su territorio a cambio de que estás se centren
en objetivos occidentales, sí ha habido casos en los que las autoridades del
país han actuado contra ellas. “Tienen que jugar siempre con tener contento al
gobierno ruso. En los chats aparece que una vez les encargaron directamente que
investigaran a los periodistas de Bellingcat a raíz de una entrevista a Navalni
[opositor ruso detenido]”.
“Desaparece un par de semanas”
La principal preocupación de los
trabajadores y jefes de Conti que aparece en su sistema de comunicación no son
las firmas de ciberseguridad o autoridades occidentales, sino que esa relación
con el Kremlin se tuerza. “Sale que lo que más les preocupa son las acciones
legales. Hay momentos que se ve que se dan cuenta de que les están investigando
dentro de Rusia. En un chat uno dice que sabe que le están siguiendo y le
responden que no se preocupe y le dicen 'desaparece un par de semanas y todo
esto va a pasar'. Saben muy bien cómo actuar”, expone el investigador del IMDEA
Software.
Fuente: El Diario.es