Investigadores descubren que una banda de ransomware extorsionó 725 BTC en un ONE ataque

La comida para llevar

• Al combinar los registros de chat filtrados en febrero con el análisis posterior de los datos de blockchain, los investigadores han obtenido nuevos conocimientos sobre la infame banda de ransomware Conti.
• La pandilla utilizó corredores OTC (otra bolsa) en Rusia para retirar Cripto extorsionadas a las víctimas y pagar a los miembros por su trabajo, según una revisión de CoinDesk de los chats filtrados.
• Al menos un hospital estadounidense atacado por el ransomware Conti durante la pandemia de coronavirus pagó el rescate, según muestran las comunicaciones internas de los piratas informáticos.
• Los pagos de rescate a la pandilla pueden haber sido de hasta 725 BTC y más, según un análisis de Crystal Blockchain publicado el martes.
• Se han localizado nuevas carteras utilizadas por Conti, afirmó Crystal.

En febrero, un hacker filtró los registros de chat de una conocida banda de ransomware, lo que ofreció un vistazo RARE a las operaciones diarias de este negocio criminal y al papel vital de las criptomonedas en él. Pero los datos de blockchain ayudan a obtener una visión más completa.

Los mensajes filtrados mostraron que los hackers de Conti tuvieron más víctimas de las reportadas previamente. También revelaron que algunas de esas organizaciones pagaron para recuperar sus sistemas informáticos y que la banda tenía vínculos con otra infame red de cibercriminales, conocida como Ryuk. Quizás lo más importante es que el caché reveló las direcciones de la billetera de Bitcoin (BTC) de Conti, previamente desconocidas.

Esto sirvió como punto de partida para que los investigadores en cadena completaran más piezas del rompecabezas. Por ejemplo, los datos de blockchain muestran que al menos ONE de los hospitales estadounidenses atacados durante la pandemia podría haber pagado un rescate a los hackers de Conti.

CoinDesk revisó los mensajes filtrados de los miembros de Conti y analizó las billeteras y transacciones de Cripto de los hackers con la ayuda de la firma de análisis en cadena Crystal Blockchain. El ejercicio subrayó una paradoja persistente de las Cripto: si bien una red sin restricciones con transacciones imbloqueables es muy útil para los delincuentes, el registro público deja un rastro de migajas que las fuerzas del orden y los investigadores pueden encontrar posteriormente.

Los hackers son hackeados

Las bandas de ransomware son una amenaza nacida de la era cibernética. Si bien la devastación que siembran en las corporaciones a veces es visible y tangible (recuerde la escasez de GAS provocada por... Ataque al oleoducto colonialel año pasado?), sus identidades y su forma de operar permanecen en gran parte ocultas.

Ahora, el telón se ha abierto ligeramente como resultado indirecto de la guerra en Ucrania.

El 25 de febrero, el grupo Contideclaró su lealtadAl gobierno ruso tras la invasión de Ucrania. En su sitio web oficial, Conti amenazó con tomar represalias contra Occidente ante posibles ciberataques contra Rusia. Esta bravuconería cibernética parece haber provocado las filtraciones, que aparecieron en varios lugares.

A Investigador de seguridad ucranianoQuienes obtuvieron acceso a la infraestructura informática del grupo filtraron los mensajes acumulados en el servidor interno Jabber/XMPP de la banda entre 2020 y 2021 a periodistas e investigadores de seguridad, según CNN. Otros informes de prensa.sugeridoLa filtración fue hecha por un miembro ucraniano descontento de la banda Conti. Los mensajes archivados fueron...publicadopor una cuenta de Twitter dedicada a investigar cepas de malware, conocida como @vxunderground.

El grupo de ransomware Conti publicó previamente un mensaje a favor del gobierno ruso. Hoy, un miembro de Conti ha comenzado a filtrar datos con el mensaje "¡Al diablo con el gobierno ruso, gloria a Ucrania!".tuiteó@vxunderground.

Cárteles de extorsión

Las comunicaciones filtradas de la banda Conti ofrecen cierta visibilidad sobre cómo pueden relacionarse las diferentes cepas de ransomware.

Según los mensajes de Conti, el grupo ha estado trabajando con diversas cepas de ransomware y grupos que las operan: sus miembros mencionan trabajar con los ransomware Ryuk, Trikbot y Maze. Según los mensajes, los miembros de Conti no solo dirigían su propio negocio de ransomware, sino que también proporcionaban herramientas y servicios a otros grupos de hackers.

Por ejemplo, el 23 de junio de 2020, el líder del grupo, apodado Stern, le dice en ruso a un gerente de bajo rango conocido como Target: «Ryuk volverá pronto de vacaciones. Se llevará todos los bots que tenemos. Para él, necesitamos 5000 empresas». (Los mensajes anteriores y posteriores no dejan claro a qué empresas se refería Stern).

Los mensajes también dejaron un rastro financiero de esta asociación: una transacción de Bitcoin entre las bandas de Conti y Ryuk, mencionada por Crystal Blockchain en un artículo de marzo. entrada de blog.

En septiembre de 2019, una de las billeteras de Bitcoin asociadas con Conti envió 26,25 BTC(con un valor de aproximadamente 200.000 dólares en ese momento) a una billetera asociada con Ryuk, según muestran los datos de blockchain.

“La información de pago contenida en los chats filtrados respalda firmemente esta conexión y que Conti probablemente intentó contactar a Ryuk”, declaró Crystal en una entrada de blog. “También observamos que Ryuk envió pagos directamente a una billetera de Conti mencionada varias veces en el historial de chats; esto sugiere afiliación y cierto grado de coordinación operativa entre ambos grupos”.

Lea también:Rastreado el alijo de Bitcoin de los hackers de DarkSide

Anteriormente, los investigadores de ciberseguridadSeñaló una posible conexión Entre los operadores del ransomware Ryuk y Conti, ya que el malware contenía fragmentos de código similares. Sin embargo, las conexiones financieras entre los atacantes de Ryuk y Conti no se habían revelado previamente.

Vitali Kremez de Intel avanzadole dijo a Bleeping ComputerLa cepa de ransomware que usa Conti ha cambiado de manos muchas veces a lo largo de varios años, comenzando como Hermes en 2017. Luego, supuestamente fue comprada por otros piratas informáticos y se convirtió en Ryuk (posiblemente llamado así por unPersonaje de manga japonés). Luego, el grupo se dividió, cambió de nombre o decidió adoptar el nombre 'Conti', que parece estar basado en el código de la versión 2 de Ryuk, escribió Bleeping Computer.

Conti operó durante la pandemia de coronavirus y atacó a organizaciones de atención médica en todo el mundo, más de la mitad de las cuales estaban ubicadas en EE. UU.según el FBILos expertos en ciberseguridad sospechan desde hace tiempo de la conexión de Conti con el estado ruso, junto con muchas otras bandas de ransomware.

Ryuk es conocido porsecoEn 2018, las publicaciones de The New York Times y The Wall Street Journal, así como las de otras empresas, utilizaron una variante del cifrado AES-256 para cifrar los archivos de las víctimas y exigir un rescate por las claves de descifrado.

Más víctimas

Los mensajes filtrados también arrojan luz sobre la amplitud de las empresas atacadas con éxito, muchas de las cuales no habían sido informadas anteriormente.

El Centro Médico Ridgeview, con sede en Minnesota, era famoso por...atacadoEn 2020, el primer año de la pandemia, junto con otras organizaciones sanitarias estadounidenses, fueron atacadas por las cepas de malware Ryuk y Trickbot. Al parecer, el grupo Conti también estuvo detrás de esos ataques: sus miembros hablan de haber pirateado con éxito la red de Ridgeview y cifrado los datos que el centro médico necesitaba para operar.

Según Crystal, unatransacción el 30 de octubre de 2020, es muy probable que sea el pago de 301 BTC (más de 4 millones de dólares en ese momento) que Ridgeview envió a Conti como rescate.

Un día antes, el 29 de octubre, los miembros de Conti, Target y Stern, mencionaron que Ridgeview estaba dispuesto a pagar 2 millones de dólares, o 151 BTC; sin embargo, el supuesto socio de Conti, el organizador del ataque, "quería 300 BTC".

Más tarde, según los registros de chat, los piratas informáticos prevalecieron y el 30 de octubre se enviaron 301 BTC desde un DIRECCIÓN atribuido al intercambio de Cripto Gemini a un billeteraque parece estar indirectamente relacionado con otro billetera, que los miembros de Conti mencionaron en los chats como una dirección de pago para la extorsión, según Crystal.

Ridgeview no respondió a la Request de comentarios de CoinDesk al momento de la publicación.

Cabe recordar que el análisis de blockchain se basa, hasta cierto punto, en suposiciones, y la atribución de una dirección de blockchain a una entidad real casi nunca es 100 % precisa. Sin embargo, Crystal afirmó tener bastante confianza en este ONE.

“La metodología que utilizamos fue buscar transacciones relacionadas con el mismo valor que la exigencia de rescate y que se discutieron en el grupo”, explicó Nick Smart, director de inteligencia blockchain de Crystal. Añadió que Crystal tenía un 90 % de certeza de que la transacción correspondía al pago del rescate en cuestión, dada su fecha, importe y conexión con las billeteras Conti reportadas anteriormente.

El grupo criminal logró reunir otros pagos, incluso mayores.

El rescate más grande que una empresa víctima no identificada pagó a Conti, según los registros de chat, fue de 725 BTC, según descubrió Crystal. Esa cantidad de Bitcoin, equivalente a unos 8 millones de dólares en ese momento, fue pagada por la plataforma de empleo CareerBuilder, con sede en Chicago, según Crystal, ya que la empresa fue mencionada en los chats relacionados con el pago de 725 BTC .

El receptor de ese pago podría haber sidoEsta billetera de BitcoinCrystal le dijo a CoinDesk. El 10 de octubre de 2020, la dirección recibió 725 BTC Y lo envió inmediatamente a otra dirección no asociada a ningún servicio de Cripto , según datos en cadena. No hubo otras transacciones relacionadas con la dirección, excepto estas dos.

CareerBuilder no respondió a la Request de comentarios de CoinDesk.

Según los mensajes filtrados, podría haber alrededor de 30 víctimas no reportadas previamente de Conti, incluyendo a Xerox (XRX), el icónico Maker de fotocopiadoras, dijo Crystal. Se sabía que Xerox había sido hackeada por una banda de ransomware en 2020; sin embargo, expertos en ciberseguridad... vinculadoEl truco para la pandilla Maze.

Los registros de chat no aclaran si Xerox pagó el rescate. En 2020, se filtraron datos de atención al cliente de Xerox, lo que sugiere que la empresa se negó a pagar el rescate y vio cómo sus datos internos se filtraban como castigo.ZDNet informóXerox se negó a hacer comentarios para esta historia.

Algunos otros ataques al mismo tiempo fueron definitivamente exitosos.

En particular, los miembros de Conti discuten los ataques al fabricante de piscinas canadiense Softub y a varias empresas con sede en Estados Unidos: la empresa de transporte Piper Logistics, la cadena minorista Sam's Furniture, el Maker de equipamientos para exteriores Clarus y el manejador de efectivo Loomis.

El director de operaciones de Softub, Tom Lalonde, dijo a CoinDesk en un correo electrónico que la compañía tenía sus datos guardados en copias de seguridad basadas en la nube, por lo que no pagó el rescate.

Sin embargo, el ataque "causó muchos problemas", afirmó Lalonde. La empresa "sufrió varios ataques de ransomware durante ese periodo", añadió.

Piper Logistics, Sam’s Furniture, Clarus y Loomis no respondieron a las solicitudes de comentarios.

En los mensajes, los miembros de Conti mencionan haber atacado a 89 empresas, la mayoría con sede en EE. UU., junto con varias corporaciones canadienses, australianas y europeas. No está claro cuántos de los ataques tuvieron éxito y generaron pagos en Bitcoin , pero la escala de las operaciones parece sin duda enorme, declaró Crystal en un... entrada de blogpublicado el martes.

Los miembros de Conti incluso mencionan planes para infectar a Pfizer (PFE), el principal fabricante de productos farmacéuticos y cocreador de una vacuna contra la COVID-19, pero no está claro si se llevó a cabo un ataque y, de ser así, si tuvo éxito.

Crystal también lo dijo.situadovarias billeteras no reportadas previamente que el grupo Conti usó, gracias a que esas billeteras se mencionaron en los registros de chat: unabilletera que recibió 200 BTC de una víctima no identificada el 26 de octubre de 2020; un billeteraque recaudó pagos de varios ataques;billeteralos pandilleros solían gestionar los gastos operativos, y otros.

Presupuesto de hackers

Según los registros de chat filtrados, Conti tenía algunosGrandes planes relacionados con las Cripto y la cadena de bloquesPor ejemplo, los miembros han estado considerando la idea de crear su propioMercado de Criptomonedas peer to peer y una herramienta basada en contratos inteligentespara extorsión.

El grupo también discutió campañas de desinformación para reducir los precios de las criptomonedas más pequeñas y podría haber estado involucrado en elEstafa de salida con temática de Juego del Calamar, el investigador de seguridad Brian Krebsescribió.

Pero las interacciones del grupo con las Cripto, en su mayor parte, han sido más mundanas e ilustran exactamente cómo funcionan las Cripto y cómo se convierten en dinero fiduciario en el submundo criminal.

Los mensajes filtrados muestran las operaciones diarias del grupo: los miembros discuten el desarrollo del código malicioso, qué funciona y qué no, qué pagos deben realizar por los servicios de TI que utiliza el grupo y la interacción con otros grupos criminales.

Según los mensajes revisados ​​por CoinDesk, los miembros de Conti usaron Cripto, entre otras cosas, para pagar servidores en la nube y licencias de software. Por ejemplo, en un mensaje, un miembro apodado Defender le pide a Stern que le envíe $700 en Bitcoin para pagar el servidor que usa el grupo.

Aunque las Cripto son el principal método de pago entre los miembros del grupo, la mayoría prefería recibir sus nóminas en moneda fiduciaria. Para ello, los miembros de Conti recurrían a un bróker extrabursátil (OTC), un método popular en Rusia y Ucrania, donde históricamente las plataformas de intercambio centralizadas globales han sido escasas.

En un mensaje a un nuevo miembro en julio de 2020, Stern explica cómo recibir un cheque de pago mensual: el nuevo recluta debe encontrar un mostrador OTC con un precio favorable en el agregador OTC en idioma ruso Bestchange.com, crear una orden para vender Bitcoin para una transferencia con tarjeta de débito y proporcionar a Stern una dirección de depósito que generaría el OTC.

De esta manera, el “empleado” recibiría dinero en fiat directamente en su tarjeta de débito, mientras que el jefe gastaría Cripto, utilizando esencialmente el OTC como procesador de pagos.

Los registros de chat muestran que los OTC también son el principal canal para el cobro de rescates. En una conversación, un miembro llamado Revers explica cómo se venden las Cripto extorsionadas a través de corredores OTC: al transferir Bitcoin, Conti envía mulas de dinero, o las llamadas "drops", para recolectar el efectivo, de modo que los verdaderos dueños de los Bitcoin obtenidos ilegalmente permanezcan en el anonimato.

“Por 300.000 dólares nadie iría a Rusia a Para ti”, añade Revers.

El pago de productos informáticos y el uso de servidores a menudo también requiere liquidez fiduciaria, y es ahí donde los ciberdelincuentes que utilizan criptomonedas pueden encontrar dificultades para pagar sus facturas. En una conversación entre dos miembros, Strix y Carter, Strix pregunta cómo Carter paga los servidores a través de PayPal (PYPL), ya que los brókeres OTC solo gestionan sumas superiores a los 7 euros mensuales que Strix necesitaba pagar por el uso de su servidor personal.

Carter explica que primero vende Cripto en el mercado peer-to-peer LocalBitcoins a cambio de una transferencia bancaria a su tarjeta de débito, la cual está vinculada a una cuenta de PayPal. La tarjeta, añade, es "fantasma", es decir, no le pertenece; supuestamente, se utiliza una mula de dinero.

La cuenta de PayPal está verificada, dice Carter, lo que plantea la pregunta de si la cuenta de PayPal que está usando también pertenece a una mula de dinero, o ha sido verificada utilizando documentos de ID robados o falsificados, un servicio criminal disponible y floreciente en la red oscura, como Investigación de CoinDeskmostrado anteriormente.

Sigue leyendo: Por $200, puedes intercambiar Cripto con una ID falsa

Además del OTC sin nombre, Conti también utilizó algunos servicios conocidos para cobrar el dinero del rescate, afirmó Crystal. Las direcciones asociadas a Conti enviaban Bitcoin al OTC ruso, ahora sancionado. Suex; el Hidra mercado de la darknet; el intercambio RenBTC; y direcciones asociadas con Wasabi, una billetera sin custodia que permite a los usuarios ocultar el origen de sus fondos al fusionarlos con los Bitcoin de otras personas en los llamados CoinJointransacciones.