El grupo de ransomware Conti al descubierto: sus empleados creen que trabajan para una empresa legal de alta tecnología
El grupo Conti cuenta con oficinas físicas en varios países, incluida Rusia. El equipo de RR. HH de Conti ofrece bonificaciones mensuales, primas, premio al empleado del mes y revisiones de rendimiento. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha recabado nuevos detalles sobre el funcionamiento interno del grupo de ransomware Conti. Conti es un grupo de Ransomware-as-a-Service (RaaS), que permite alquilar el acceso a su infraestructura para lanzar ataques. Expertos del sector han afirmado que Conti tiene su sede en Rusia y puede tener vínculos con la inteligencia de este país. A Conti se le han atribuido ataques de ransomware dirigidos a docenas de empresas, entre ellas el gigante de la ropa Fat Face y Shutterfly, así como a infraestructuras críticas, como el servicio sanitario irlandés y otras organizaciones de asistencia.
El 27 de febrero de este año un presunto infiltrado difundió en Internet un caché de registros de chat pertenecientes al Conti, que afirmaba haberse opuesto al apoyo del grupo a la invasión rusa de Ucrania. Los investigadores analizaron los archivos filtrados y descubrieron que este conjunto de ransomware opera como una gran empresa tecnológica. La compañía tiene un departamento de Recursos Humanos, un proceso de contratación, salarios y pago de bonificaciones.
1. Características de las operaciones internas de Conti:
• Conti actúa como una empresa tecnológica:
- Estructura jerárquica y definida.
- Responsables de equipo que dependen de la alta dirección.
- Principales grupos observados: RR. HH, programadores, verificadores, criptógrafos, administradores de sistemas, ingenieros informáticos, especialistas en OSINT y personal de negociación.
- Check Point Research ha identificado a los principales implicados con sus nombres: Stern (gran jefe), Bentley (jefe técnico), Mango (gestor de cuestiones generales), Buza (director técnico), Target (responsable de los codificadores y sus productos), Veron alias Mors (coordinador de las operaciones del grupo con Emotet).
• Trabajar desde una oficina física en Rusia:
- El grupo Conti dispone de diversas oficinas físicas. El responsable es "Target", socio de Stern y responsable efectivo de la operativa de las oficinas, que también es el encargado del fondo salarial, del equipamiento técnico, del proceso de contratación de Conti y de la formación del personal. Durante 2020, las oficinas offline fueron utilizadas principalmente por los técnicos de pruebas, los equipos ofensivos y los negociadores; Target señala 2 oficinas dedicadas a los trabajadores que hablan directamente con los representantes de las víctimas.
- En agosto de 2020, se abrió una adicional para administradores de sistemas y programadores, bajo la supervisión del "Profesor, que es quien se encarga de todo el proceso técnico de garantizar las infecciones”.
• Remuneración. Primas mensuales, multas, empleado del mes, evaluaciones de rendimiento:
- Los miembros del equipo de negociación de Conti (incluidos los especialistas en OSINT) cobran mediante comisiones, calculadas como un porcentaje del valor del rescate pagado que oscila entre el 0,5% y el 1%. Los programadores y algunos de los directivos reciben un salario en bitcoin, transferido una o dos veces al mes.
- Los empleados de Conti no están sindicados, por lo que están expuestos a prácticas como ser sancionados por su bajo rendimiento.
2. El talento se recluta tanto de fuentes legítimas como clandestinas
- El principal recurso que suele utilizar Conti HR para la contratación son los servicios de búsqueda de personal de habla rusa, como headhunter.ru. También han utilizado otros portales como superjobs.ru, pero al parecer con menos éxito. Conti OPSec prohíbe dejar rastros de las ofertas de trabajo para desarrolladores en esos sitios web, una norma que aplica estrictamente uno de los altos cargos, "Stern".
- Así que, para contratar desarrolladores, Conti se salta el sistema de empleo de headhunter.ru, y en su lugar accede directamente a la bolsa de currículums y se pone en contacto con los candidatos por correo electrónico. Es posible que alguien se pregunte "¿por qué headhunter.ru ofrece este servicio?", y la respuesta es que no lo hace. Conti simplemente "ha tomado prestada" la bolsa de currículums sin permiso, lo que parece ser una práctica habitual en el mundo de la ciberdelincuencia.
3. Conti y los planes de futuro: intercambio de criptomonedas y una red social de darknet
- Una de las ideas discutidas es la creación de una bolsa de criptomonedas en el propio ecosistema del grupo.
- Otro proyecto es la "red social de la Darknet" (también: "VK para la Darknet" o "Carbon Black para los hackers"), un proyecto inspirado por Stern y llevado a cabo por Mango, como una acción comercial. En julio de 2021, Conti ya se puso en contacto con un diseñador, que realizó algunas maquetas.
“Por primera vez, tenemos la oportunidad de acceder a un grupo conocido en el mundo del ransomware. Conti actúa como una empresa de alta tecnología. Nos encontramos con cientos de empleados en una jerarquía de directivos. Vemos una función de RR. HH, con responsables de diferentes departamentos. De forma alarmante, tenemos pruebas de que no todos los asalariados son plenamente conscientes de que forman parte de un grupo de ciberdelincuentes. En otras palabras, Conti ha podido reclutar profesionales de fuentes legítimas. Estos trabajadores creen que están colaborando con una empresa de publicidad, cuando en realidad están haciéndolo con un conocido grupo de ransomware”, explica Ivonne Pedraza, Territory Manager CCA de Check Point technologies. “Algunos de ellos se enteran de la verdad y deciden quedarse, lo que revela que el equipo directivo de Conti ha desarrollado un proceso para conseguir retenerlos. Nos queda claro que Conti ha desarrollado una cultura interna para aumentar los beneficios, además de multar a los empleados por comportamientos inadecuados. También es evidente que Conti tiene oficinas en Rusia. Nuestra publicación presenta conclusiones sobre su funcionamiento interno y su cultura”, concluye Ivonne Pedraza