Los portales de pago de la clearnet y la dark web, operados por el grupo de ransomware Conti, han caído, en lo que parece ser un intento de cambiar a una nueva infraestructura, después de que se hicieran públicos los detalles sobre el funcionamiento interno de la banda y sus miembros.
Según MalwareHunterTeam, “mientras que los dominios clearweb y Tor del sitio de filtración de la banda de ransomware Conti están en línea y funcionan, sus dominios clearweb y Tor para el sitio de pago (que es obviamente más importante que la filtración) están caídos”.
No está claro lo que provocó el cierre, pero el desarrollo se produce cuando la firma suiza de ciberseguridad PRODAFT ofreció una mirada sin precedentes en el modelo de ransomware como servicio (RaaS) del grupo, en el que los desarrolladores venden o alquilan su tecnología de ransomware a los afiliados contratados en los foros de la red oscura, que luego llevan a cabo ataques en su nombre, mientras que también obtienen alrededor del 70% de cada pago de rescate extorsionado de las víctimas.
¿El resultado? Hasta ahora se han identificado tres miembros del equipo de Conti, cada uno de los cuales desempeña los papeles de administrador (“Tokio”), asistente (“it_work_support@xmpp[.]jp”) y reclutador (“IT_Work”) para atraer a nuevos afiliados a su red.
Mientras que los ataques de ransomware funcionan cifrando la información sensible de las víctimas y haciéndola inaccesible, los actores de las amenazas han adoptado cada vez más una estrategia doble denominada doble extorsión para exigir el pago de un rescate para descifrar los datos y amenazar con publicar la información robada si no se recibe el pago en un plazo determinado.
Surgido en el panorama del cibercrimen en octubre de 2019, se cree que Conti es obra de un grupo de amenazas con sede en Rusia llamado Wizard Spider, que también es el operador del infame malware bancario TrickBot. Desde entonces, al menos 567 empresas diferentes han tenido sus datos críticos para el negocio expuestos en el sitio de vergüenza de las víctimas, con el cartel de ransomware recibiendo más de 500 bitcoin (25,5 millones de dólares) en pagos desde julio de 2021.
Además, un análisis de las muestras de ransomware y de las direcciones de los monederos de bitcoin utilizados para recibir los pagos ha revelado una conexión entre Conti y Ryuk, con ambas familias apostando fuertemente por TrickBot, Emotet y BazarLoader para entregar realmente las cargas útiles de cifrado de archivos en las redes de las víctimas a través de phishing de correo electrónico y otros esquemas de ingeniería social.