Dentro del negocio del ransomware: Conti expuesto
Una mirada profunda a cómo opera y saca ganancias el grupo de ransomware Conti.
― 8 minilectura
Tabla de contenidos
El ransomware ha cambiado mucho a lo largo de los años. Lo que empezó con ataques simples se ha transformado en grupos de crimen organizado que pueden hacer millones con un solo ataque. Aunque el ransomware es un tema importante en las noticias, no se ha investigado mucho en detalle cómo trabajan estos grupos y cómo hacen dinero.
Este artículo se centra en Conti, uno de los grupos de ransomware más grandes. Usamos mensajes que se filtraron de sus chats para entender cómo operan. Al estudiar estos mensajes, podemos ver cómo Conti funciona como un negocio, incluyendo cómo ganan dinero, contratan empleados y qué roles tienen las diferentes personas. También encontramos una manera de rastrear los pagos hechos a este grupo, estimando que se pagaron más de 80 millones de dólares en rescate, que es más de cinco veces lo que mostraban estudios anteriores.
¿Qué es el Ransomware?
El ransomware es un tipo de software dañino que bloquea los archivos en una computadora y exige un pago por una clave que los desbloquee. Los ataques con ransomware han aumentado muchísimo en los últimos años. Ahora hay más grupos criminales y nuevas formas de extorsionar dinero. En 2021, se estimó que los pagos por ransomware superaron los 600 millones de dólares.
Debido a este aumento, vimos surgir el "Ransomware Como Servicio" (RaaS). En este modelo, diferentes grupos comparten tareas para hacer sus ataques más efectivos. Un grupo puede crear el software malicioso mientras que otros lo utilizan para infectar a las víctimas. A pesar del crecimiento de las operaciones de ransomware, no ha habido suficiente investigación exhaustiva sobre cómo funcionan hoy en día.
Dentro de Conti
Este artículo se centra en analizar mensajes de chat filtrados y direcciones de Bitcoin relacionadas con Conti. Este grupo ha sido responsable de muchos ataques de alto perfil, incluyendo a hospitales y empresas de suministro de alimentos. Aunque Conti tuvo algunos problemas en el pasado, aún logró ser uno de los tres grupos de ransomware más importantes tanto en número de víctimas como en montos de rescate en los últimos años.
La filtración que contenía más de 168,000 mensajes de los chats internos de Conti provino de un investigador de seguridad en Ucrania en febrero de 2022. Estos mensajes dan una idea de cómo funciona el grupo, desde discusiones sobre el desarrollo de malware hasta la negociación con las víctimas. Los chats también contienen información útil como las direcciones de billetera de Bitcoin de los asociados y cómo el grupo recluta miembros.
Análisis Económico
De nuestro análisis, encontramos información importante que puede ayudar a la policía y a los responsables de políticas. Por ejemplo, solo dos casas de cambio de Criptomonedas son responsables de más del 90% de los pagos realizados a Conti. También observamos que Conti no maneja bien su seguridad. Muchos pagos de salarios se hicieron a través de intercambios que tienen reglas estrictas de identificación.
Etiquetamos cuidadosamente todas las direcciones de Bitcoin en los registros de chat filtrados según su propósito, como salarios, reembolsos y pagos de rescate. Esto nos permitió entender mejor los ingresos y gastos de Conti. Estimamos que su ingreso total por pagos de rescate fue de aproximadamente 77.9 millones de dólares, mientras que sus gastos fueron de alrededor de 31.2 millones de dólares.
La Estructura de los Grupos de Ransomware
Las operaciones de ransomware requieren muchas personas con diversas habilidades. Se necesitan personas para diseñar, probar y entregar el ransomware, además de manejar el contacto con las víctimas. Una vez que se paga el rescate, el atacante a menudo blanquea los fondos utilizando diferentes intercambios y servicios.
Típicamente, las operaciones de ransomware se dividen en dos categorías: Operadores de Ransomware y Afiliados de Ransomware. Los operadores son generalmente trabajadores asalariados responsables de cosas como reclutar, desarrollar malware y manejar los procesos de pago. Los afiliados trabajan a comisión, buscando nuevas víctimas y manejando las negociaciones después de un ataque.
Los gerentes también son esenciales en estas operaciones. Ellos supervisan la contratación, las finanzas y los recursos humanos. Se aseguran de que cada parte de la operación funcione sin problemas. También dirigen la comunicación entre los miembros del equipo y aseguran que las tareas se completen.
Cómo Operan los Grupos de Ransomware
Los grupos de ransomware, como Conti, a menudo dividen sus operaciones en equipos especializados. Por ejemplo, puede haber un equipo de desarrollo que crea y prueba malware y un equipo de negociación que trata directamente con las víctimas. Cada equipo tiene tareas específicas que cumplen diferentes etapas de un ataque de ransomware.
Se ha encontrado que muchos grupos de ransomware operan sitios de filtración. Estos sitios amenazan con liberar los datos de las víctimas si no cumplen con la demanda de rescate. Desde 2019, alrededor de 80 grupos han comenzado sitios de filtración públicos, aunque no todos lo hacen. Algunos grupos pueden cambiar su marca o compartir código entre ellos.
La Ruta del Bitcoin
Para seguir la ruta del dinero desde las víctimas hasta los grupos de ransomware, analizamos las direcciones de Bitcoin de los mensajes filtrados. Encontramos nuevas formas de identificar direcciones utilizadas para pagos de rescate. Trabajando a partir de conjuntos de datos públicos anteriores, identificamos 75 direcciones de pago de rescate vinculadas a Conti que sumaban 83.9 millones de dólares.
También vimos que muchos de los pagos de rescate provenían de un grupo desconocido de direcciones de Bitcoin. Estas direcciones pueden ser parte de una operación de mesa de cambio que está vinculada a múltiples víctimas. Esto sugiere que pueden ayudar en el procesamiento de pagos para grupos de ransomware, permitiéndoles ocultar sus rastros de manera más efectiva.
Estructura del Equipo en Conti
De acuerdo con los datos filtrados del chat, hay roles específicos dentro de Conti. Por ejemplo, hay individuos responsables del desarrollo, pruebas y administración. Los gerentes organizan equipos y supervisan sus tareas diarias.
Los chats también muestran que los gerentes son cruciales para controlar los recursos y asignar tareas. A menudo envían mensajes masivos a los equipos para dirigir su trabajo. Según el volumen de comunicación, ciertos individuos parecían tener roles importantes dentro de la organización.
Reclutamiento y Operaciones
Cuando se trata de contratación, se sabe que Conti recluta a través de sitios de empleo legítimos y lugares más oscuros como foros clandestinos. Las personas pueden no estar completamente al tanto de la naturaleza ilegal del trabajo cuando son incorporadas. Esto puede llevar a confusiones entre el personal sobre la verdadera naturaleza de sus trabajos.
El proceso de reclutamiento a menudo involucra descripciones vagas de lo que conllevan los trabajos. Por ejemplo, posibles contrataciones han informado que les dijeron que serían responsables de "pruebas de penetración" y "software para hackers". Esta falta de claridad puede ayudar a proteger al grupo de repercusiones legales.
Preocupaciones Éticas
Hay preguntas éticas que considerar al analizar datos filtrados. Una preocupación importante es si el uso de datos filtrados está justificado, dada la potencialidad de riesgos involucrados. En este caso, los investigadores creen que los beneficios de entender cómo funcionan estos grupos superan los riesgos.
Mientras que los datos filtrados ya son accesibles públicamente, los investigadores han tomado precauciones para asegurar que no se divulgue información personal identificable. Se centraron en los datos necesarios para su estudio.
El Panorama General
El grupo Conti representa una parte significativa del cibercrimen moderno. Al entender sus operaciones y cómo ganan dinero, podemos crear mejores estrategias para combatir el ransomware. Esto incluye enfocarse en intercambios para identificar y bloquear pagos, así como atacar a los gerentes y líderes que dirigen estas operaciones.
Al interrumpir las operaciones en varios niveles, podemos abordar el problema del ransomware de manera más efectiva. Identificar las vulnerabilidades en el ecosistema del ransomware permite a las fuerzas del orden y otras organizaciones aplicar presión sobre estos grupos.
Conclusión
En resumen, el ransomware se ha convertido en un modelo de negocio complejo y rentable. Grupos como Conti son hábiles en utilizar la tecnología para empresas criminales, y conocer cómo operan puede ayudar en la lucha contra el cibercrimen. Al analizar los datos disponibles, podemos obtener información que no solo informe las estrategias de las fuerzas del orden, sino que también fortalezca las defensas contra tales ataques en el futuro.
La lucha contra el ransomware está en marcha y entender los métodos y estructuras de estos grupos proporciona un conocimiento valioso para enfrentar esta creciente amenaza.
Título: Money Over Morals: A Business Analysis of Conti Ransomware
Resumen: Ransomware operations have evolved from relatively unsophisticated threat actors into highly coordinated cybercrime syndicates that regularly extort millions of dollars in a single attack. Despite dominating headlines and crippling businesses across the globe, there is relatively little in-depth research into the modern structure and economics of ransomware operations. In this paper, we leverage leaked chat messages to provide an in-depth empirical analysis of Conti, one of the largest ransomware groups. By analyzing these chat messages, we construct a picture of Conti's operations as a highly-profitable business, from profit structures to employee recruitment and roles. We present novel methodologies to trace ransom payments, identifying over $80 million in likely ransom payments to Conti and its predecessor -- over five times as much as in previous public datasets. As part of our work, we publish a dataset of 666 labeled Bitcoin addresses related to Conti and an additional 75 Bitcoin addresses of likely ransom payments. Future work can leverage this case study to more effectively trace -- and ultimately counteract -- ransomware activity.
Autores: Ian W. Gray, Jack Cable, Benjamin Brown, Vlad Cuiujuclu, Damon McCoy
Última actualización: 2023-04-23 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2304.11681
Fuente PDF: https://arxiv.org/pdf/2304.11681
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.