La banda de ransomware Conti ha resurgido y ahora opera en tres grupos: TRM Labs

El mundo del ciberdelito experimentó algunos cambios notables durante el año pasado: nuevos mercados de la darknet tomaron el lugar del cerrado Hydra y los operadores del notorio grupo de ransomware Conti cambiaron su nombre, dijo la firma de análisis de blockchain TRM Labs.

En unnuevo informeAl analizar la reestructuración de la industria del cibercrimen desde el inicio de la guerra rusa en Ucrania, TRM nombró a los supuestos sucesores de Conti, una banda de ransomware otrora notoria que extorsionó cientos de bitcoins a corporaciones estadounidenses, incluyendo organizaciones de salud, durante la pandemia de COVID-19. Según TRM, Conti se rebautizó en al menos tres grupos más pequeños: Black Basta, BlackByte y Karakurt.

Conti ha estado atacando con éxito a varias organizaciones en EE. UU., cifrando sus sistemas informáticos y exigiendo cuantiosos rescates para desbloquear los archivos. En 2022, el grupo...prometió su lealtada Rusia en la guerra recién iniciada en Ucrania. Poco después, supuestamente, una fuente interna descontenta con la decisiónfiltrado gigabytes de mensajes de los miembros del grupo entre sí, discutiendo los hacks, los pagos, las formas de retirar Cripto y simplemente su vida cotidiana.

Pero pronto, ya sea por la filtración o por otras razones, Conti supuestamente...cesaron sus operacionesSin embargo, los piratas informáticos no se detuvieron y las billeteras de Cripto vinculadas a los operadores de Conti permanecieron activas y probablemente cambiaron a otras cepas de ransomware.

Sigue leyendo: Investigadores descubren que una banda de ransomware extorsionó 725 BTC en un ONE ataque

En enero, Chainalysis publicadoun informe que dice que las billeteras del supuesto líder de Conti, Stern, "realizaron transacciones con direcciones vinculadas a cepas como Quantum, Karakurt, Diavol y Royal en 2022 después de la desaparición de Conti", ya que los operadores de ransomware, aparentemente, suelen trabajar con múltiples variantes de malware, colaborando simultáneamente con un grupo de colectivos de hackers a la vez.

TRM dice que el principal sucesor de Conti es muy probablemente el grupo de ransomware conocido comoKarakurtEl LINK entre ambos ya estaba previamente sugerido por expertos en ciberseguridadSegún la empresa de ciberseguridad Avertium, Karakurt suele atacar a organizaciones que ya han sido comprometidas anteriormente.

Al igual que Conti, Karakurt no ha estado por encima de...Atacar a las organizaciones de atención médica, en particular un proveedor de facturación, Practice Resources, que ha estadogolpear con un ataque en agosto de 2022. Sin embargo, a diferencia de Conti, Karakurt no cifró los archivos de las víctimas, sino que solo los robó y amenazó a las víctimas con filtrarlos si no se pagaba un rescate.

Según TRM Labs, Karakurt ha estado activo desde al menos octubre de 2021. Tanto Conti como Karakurt usaron la misma dirección para enviar los pagos de ransomware que recibieron en octubre de 2021, dice TRM, y posteriormente enviaron el dinero a un "exchange de alto riesgo".

“La cronología de la actividad dentro y fuera de la cadena de Karakurt confirma que el grupo estuvo activo mucho antes del cierre oficial de Conti, ocurrido en mayo de 2023. Karakurt parece haber sido creado por Conti en 2021 y entró en pleno funcionamiento bajo su nueva marca en 2022”, declaró a CoinDesk Ari Redbord, director de asuntos legales y gubernamentales de TRM Labs. Añadió que, muy probablemente, las mismas personas estaban detrás de Conti y Karakurt.

En cuanto a los métodos de retiro de efectivo para los ciberdelincuentes, los mercados de la darknet, donde vendedores anónimos ofrecen drogas ilegales, documentos falsos y otros bienes y servicios clandestinos, se están convirtiendo en un canal popular para el lavado de dinero, según TRM Labs en el informe. Dado que estas plataformas fusionan los fondos de sus usuarios en billeteras centralizadas, funcionan en parte como una especie de mezclador, según los informes.

Esta opción de lavado de dinero ha atraído a aún más ciberdelincuentes recientemente, en particular a aquellos que se benefician del material de abuso sexual infantil (MASI) o pornografía infantil, según TRM. La firma registró un repunte en las entradas de Cripto relacionadas con MASI a las plataformas de la darknet asociadas con Rusia, según el informe.

La guerra podría contribuir a esta tendencia, ya que Rusia se ha aislado cada vez más de Occidente en el ámbito político y económico, afirmó TRM. «Es posible que el distanciamiento político y económico de Rusia con Occidente haya alimentado la percepción de que el país es una jurisdicción favorable para los delincuentes que buscan evadir las fuerzas del orden occidentales», añadió.