A gangue de ransomware Conti ressurgiu e agora opera como três grupos: TRM Labs

O mundo do crime cibernético viu algumas mudanças notáveis no ano passado: novos mercados na darknet tomaram o lugar do extinto Hydra e os operadores do famoso grupo de ransomware Conti foram renomeados com novos nomes, disse a empresa de análise de blockchain TRM Labs.

Em umnovo relatórioanalisando a remodelação da indústria do crime cibernético desde o início da guerra russa na Ucrânia, a TRM nomeou supostos sucessores da Conti, uma gangue de ransomware outrora notória que extorquiu centenas de bitcoins de corporações dos EUA, incluindo organizações de assistência médica durante a pandemia da COVID-19. De acordo com a TRM, a Conti “se rebatizou em pelo menos três grupos menores: Black Basta, BlackByte e Karakurt”.

Conti tem atacado com sucesso várias organizações nos EUA, criptografando seus sistemas de TI e exigindo um grande resgate para desbloquear os arquivos. Em 2022, o grupoprometeu sua lealdadepara a Rússia na guerra recentemente iniciada na Ucrânia. Logo depois disso, supostamente, um insider descontente com a decisãovazou gigabytes de mensagens dos membros do grupo entre si, discutindo os hacks, pagamentos, maneiras de sacar Cripto e apenas suas vidas cotidianas.

Mas logo, seja por causa do vazamento ou por algum outro motivo, Conti teriacessou as operações. No entanto, os hackers não desistiram e as carteiras de Cripto vinculadas aos operadores Conti permaneceram ativas e provavelmente mudaram para outras cepas de ransomware.

Leia Mais: Gangue de ransomware extorquiu 725 BTC em um ataque, descobrem detetives on-chain

Em janeiro, Chainalysis publicadoum relatório dizendo que as carteiras do suposto líder da Conti, Stern, “transacionaram com endereços vinculados a cepas como Quantum, Karakurt, Diavol e Royal em 2022 após o fim da Conti”, já que os operadores de ransomware, aparentemente, geralmente trabalham com múltiplas variantes de malware, colaborando simultaneamente com um monte de coletivos de hackers ao mesmo tempo.

O TRM diz que o principal sucessor do Conti é provavelmente o grupo de ransomware conhecido comoKarakurt. A LINK entre os dois era anteriormente sugerido por especialistas em segurança cibernética. De acordo com a empresa de segurança cibernética Avertium, o Karakurt geralmente ataca organizações que já foram comprometidas anteriormente.

Assim como Conti, Karakurt não ficou acimaatacando organizações de saúde, em particular um fornecedor de faturamento Practice Resources, que tem sidobater com um ataque em agosto de 2022. No entanto, diferentemente de Conti, Karakurt não criptografou os arquivos das vítimas, mas apenas os roubou e ameaçou as vítimas de vazá-los se o resgate T fosse pago.

De acordo com o TRM Labs, o Karakurt está ativo desde pelo menos outubro de 2021. Tanto o Conti quanto o Karakurt usaram o mesmo endereço para enviar os pagamentos de ransomware que receberam em outubro de 2021, diz o TRM, e depois o endereço enviou o dinheiro para uma “bolsa de alto risco”.

“A linha do tempo da atividade off-chain e on-chain do Karakurt confirma que o grupo estava ativo muito antes do fechamento oficial do Conti, que ocorreu em maio de 2023. O Karakurt parece ter sido criado pelo Conti em 2021 e se tornou totalmente operacional sob sua nova marca em 2022”, disse o chefe de assuntos legais e governamentais do TRM Labs, Ari Redbord, ao CoinDesk. Ele acrescentou que, muito provavelmente, as mesmas pessoas estavam por trás do Conti e do Karakurt.

Quanto aos métodos de saque para criminosos cibernéticos, os mercados da darknet, onde vendedores anônimos oferecem drogas ilegais, documentos falsos e outros bens e serviços ocultos, estão se tornando um canal popular de lavagem de dinheiro, disse a TRM Labs no relatório. No sentido de que essas plataformas unem os fundos de seus usuários em carteiras centralizadas, elas servem em parte como uma espécie de misturador, disseram os relatórios.

Essa opção de lavagem de dinheiro tem atraído ainda mais criminosos cibernéticos recentemente, em particular, aqueles que lucram com materiais de abuso sexual infantil (CSAM), ou pornografia infantil, disse a TRM. A empresa registrou um aumento de entradas de Cripto relacionadas a CSAM para plataformas darknet associadas à Rússia, disse o relatório.

A guerra pode ajudar nessa tendência, já que a Rússia se tornou cada vez mais isolada do Ocidente no sentido político e econômico, disse o TRM. “É possível que o afastamento político e econômico da Rússia do Ocidente tenha alimentado percepções de que o país é uma jurisdição amigável para criminosos que buscam fugir da aplicação da lei ocidental.” acrescentou.