Hace dos meses, Conti, una de las organizaciones cibercriminales más temidas del mundo, lanzó ataques contra sitios web de los gobiernos de Perú y Costa Rica. Sin embargo, desapareció del radar poco tiempo después.
En abril pasado, un grupo cibercriminal ruso, conocido como Conti, atacó numerosos sitios web institucionales en varios países de la región, como resultado de lo cual robó una gran cantidad de datos y amenazó con divulgarlos a menos que se pagara un rescate. Costa Rica fue el país más afectado, y aunque el gobierno se negó a pagar, la recuperación de su infraestructura informática ha sido muy lenta.
El sitio web del instituto de seguridad social seguía caído a finales de junio y los servicios ofrecidos en la página del Ministerio de Finanzas solo se reanudaron desde el 13 de junio, según medios locales. Además, los directivos de informática del gobierno han sido suspendidos temporalmente mientras se desarrollan las investigaciones.
Esto puso fin a una época de fama global para Conti, que en 2021 se jactó de haber perpetrado más ataques de ransomware que cualquier otro grupo. Desde entonces, el grupo ha estado silencioso y hay expertos que afirman que planeó desintegrarse.
InSight Crime analiza por qué un grupo criminal tan temible habría decidido separarse y lo que sigue para su marca criminal.
VEA TAMBIÉN: Secuestro de datos en Perú y Costa Rica vaticina más problemas para la región
Fuera con lo viejo
La banda cibernética Conti se especializaba en el robo y encriptado de datos sensibles, que usaba para extorsionar «a grandes presas», como corporaciones o gobiernos. Múltiples instituciones latinoamericanas han sido víctimas de este tipo de extorsión, gracias al atraso en sus prácticas de seguridad informática. Conti se apresuró a señalar en público las debilidades que hallaba en sus blancos, como cuando reveló que la Dirección Nacional de Inteligencia de Perú no tenía encriptados los datos de su red.
Pero en febrero de 2022, la organización sufrió un duro golpe después de divulgar un pronunciamiento en respaldo de la reinvasión de Ucrania por parte de Rusia. Luego de esto las empresas estuvieron cada vez menos dispuestas a pagar las exigencias de rescate de Conti. La práctica podría responder al deseo de las empresas evitar el riesgo de infringir las sanciones internacionales al pagar a una organización que ahora se asocia con la guerra en Ucrania, o ganarse la ira del gobierno estadounidense.
Además, un miembro de Conti, al parecer de origen ucraniano, filtró casi dos años de registros de conversaciones entre miembros de la organización, lo que dio información invaluable sobre el funcionamiento interno de la pandilla a las autoridades.
Según el experto en ciberseguridad Yelisey Bogusalvskiy, este fue un punto de no retorno para Conti. Pero no fue un motivo de celebración. «Después de ese pronunicamiento, ellos simplemente no recibieron ningún pago», afirmó Bogusalvskiy, y agregó «eso en realidad motivó una renovación, que los hizo más peligrosos que antes».
Cómo se diluye una marca
Al reconocer que la marca Conti había terminado enredada en asuntos geopolíticos, la organización comenzó a formar alianzas, asociaciones indefinidas o fusiones a gran escala con otras organizaciones cibercriminales para ajustarse a un modelo más federado y descentralizado.
Tal como se han dividido los grandes carteles de la droga de antaño y se han fragmentado en enjambres de células narcotraficantes de menor tamaño en gran parte de Latinoamérica, así parecen estar fragmentándose uno de los actores más adaptables en el cibercrimen.
La caída de Conti no es el fin de un gigante de los delitos cibernéticos; apenas una dilución. Según Bogusalvskiy, los líderes de Conti tuvieron un preaviso y conformaron alianzas con otras bandas de ransomware reconocidas, como ALPHV/BlackCat, KaraKurt, y BlackByte, entre otras.
En medio de ese ejercicio de reposicionamiento de marca, la organización lanzó, con bombos y platillos, su ataque a Costa Rica. A pesar del daño que causó, que llevó al gobierno a declarar el estado de emergencia nacional, no se llegó a hacer ningún pago.
Según Bogusalvskiy, Conti nunca esperó recibir dinero. «Querían crear este marco en el que Conti sigue existiendo en teoría y siguen operativos y poderosos, con la capacidad para perpetrar ataques a gran escala» En realidad, Bogusalvskiy afirma que su demanda de rescate inicial fue de menos de US$1 millón simplemente porque sabían que nunca les pagarían, y el ataque fue apenas una distracción de la realidad de que la cúpula de Conti ya había encontrado bases entre sus nuevos aliados.
El ataque de la ciberbanda en Costa Rica no fue accidental. Steph Shample, experta en cibersecuridad y asociada del Middle East Institute, confirmó a InSight Crime que en lo que respecta a la preparación, Conti se aparta de los demás. «Son más cuidadosos y cautos en su pesquisa. Se ajustan a las víctimas que quieren perseguir”, afirmó Shample.
VEA TAMBIÉN: Cibercrimen amenaza a Latinoamérica en cuarentena por coronavirus
La evolución del secuestro de datos
Entonces, ¿quién tomará el control de Conti? Para mediados de junio, dos federaciones criminales parecen erigirse por encima de las demás: Conti y sus multitudes de organizaciones afiliadas y las asociadas con LockBit.
Este último es un proveedor de servicios de secuestro de datos (Ransomware-as-a-Service, RaaS) que alquila sus programas a una multitud de clientes y se lleva una parte de las ganancias. Al igual que Conti, LockBit ha optado por un modelo más descentralizado que sus predecesores, y funge más como nodo central para una red más amplia de bandas cibernéticas semiautónomas que una organización jerárquica.
Donde grupos como Conti se esfuerzan por la calidad, tanto en la ejecución como en el proceso de negociación con sus víctimas, grupos como LockBit optan por la cantidad.
Como organización de RaaS, LockBit ha seguido un enfoque menos sofisticado basado simplemente en el alquiler de sus programas de secuestro de datos a actores criminales de menor nivel. Dicha estrategia reduce las barreras de entrada a esos delitos cibernéticos. Los ataques de LockBit se han detectado en Chile, Colombia y Brasil. En abril, la secretaría de finanzas de Rio de Janeiro fue atacada, y los criminales sustrajeron casi 420 gigabytes de información.
Sin embargo, esto no implica que se esperen desembolsos exitosos.
“Al final, a los líderes de LockBit no se les paga, porque se supone que reciben un porcentaje de los pagos de rescates que sus afiliados cobran”, afirmó Bogusalvskiy. “Si esos afiliados no tienen éxito, si no pueden conseguir dinero, LockBit tampoco recibe un centavo”.
En resumen, aunque el RaaS y la proliferación de bandas de secuestro de datos más pequeñas eleva el riesgo de ataques, en países como Brasil, Chile y Colombia cada vez menos empresas nacionales pagarán a los cibercriminales a la par que incrementarán los recursos destinados a promover la adopción de leyes sobre ciberseguridad.
Actores más importantes, como Conti, que se adaptan con mayor sofisticación en términos de selección de objetivos y extracción o exfiltración de datos, serán entonces los actores criminales que se lleven las ganancias reales.
Por el momento, los cómplices de Conti siguen atacando blancos latinoamericanos, como lo indica el anuncio de la Contraloría General de Perú de un ataque de BlackByte el 15 de junio. Ya la ciberbanda ha puesto a la institución en su “lista de la infamia” de víctimas, según la firma BetterCyber.