El ransomware Conti ha cerrado oficialmente sus operaciones

El ransomware Conti en los últimos meses tomo mucha popularidad por la guerra informática que inicio contra el país centroamericano Costa Rica, pues hoy, la estructura interna parece haberse desintegrado, así lo han confirmado los lideres detrás del ransomware.

Tal y como ha informado Advanced Intel, esta noticia proviene de Yelisey Boguslavskiy, quien hace unas hora tuiteo en si perfil que la organización se había desintegrado. Sin embargo, la fuga de información «Conti News» y las negociaciones de los rescates todavía están vigentes, pero los medios en los que se realizaban las negociaciones y se publicaban las noticias (Tor) ya se encuentran oficialmente cerrados. También se ha confirmado que otros servicios internos con los que contaban este grupo también están siendo desmantelados.

El equipo de ransomware Conti se desintegra

Seguramente te parece bastante extraño que los miembros de este grupo se desintegren luego del éxito que han tenido con la filtración de información en Costa Rica. Pues si, Boguslavskiy ha informado que el ataque realizado a dicho país tenía como objetivo ser muy popularizado, con la finalidad de que los miembros del equipo de Conti migraran lentamente hacia otros ransomware más pequeños, sin despertar ninguna sospecha.

Sin embargo, los hallazgos únicos de inteligencia y visibilidad contradictoria de Advanced Intel llevaron a lo que de hecho era la conclusión opuesta: el único objetivo que Conti había querido alcanzar con este ataque final era usar la plataforma como una herramienta de publicidad, realizando su propia muerte y renacimiento posterior de la manera más plausible que podría haber sido concebida», explico Advanced Intel.

El ransomware Conti se ha ido, pero sus operaciones siguen vivas

Si bien es cierto, el grupo Conti ya no existe como tal, pero sus operaciones seguirán vivas desde otros ransomware más pequeños, continuando así sus operaciones durante mucho tiempo. Boguslavskiy ha mencionado que en lugar de cambiar el nombre de Conti, sus integrantes se asociaron a otros ransomware para realizar ataques.

Está asociación permitirá a los ransomware más pequeños tener integrantes más experimentados, además, los exintegrantes de Conti también tendrán una mayor evasión a la ley por estar divididos en células.

Actualmente los miembros existentes de Conti, incluidos los negociadores, los analistas de inteligencia, los pentesters y los desarrolladores, están repartidos por otras operaciones de ransomware. Si bien estos miembros ahora usarán los sitios de negociación y encriptación de estas otras operaciones de ransomware, siguen siendo parte del sindicato de delitos cibernéticos Conti más grande.

Con la siguiente imagen que Advanced Intel ha compartido, entendernos mejor la fragmentación del grupo Conti:

Por otra parte, Advanced Intel también afirma que se han creado nuevos grupos de miembros de Conti que se enfocan completamente en la exfiltración de datos y no en el cifrado de datos.

El cambio de marca de Conti no sorprende a los investigadores y periodistas que los han estado siguiendo durante los últimos meses, si no los últimos años. La operación de ransomware Conti se lanzó en el verano de 2020, después de tomar el lugar del ransomware Ryuk.

Al igual que Ryuk, Conti se distribuyó a través de asociaciones con otras infecciones de malware, como TrickBot y BazarLoader, que proporcionaron acceso inicial a la banda de ransomware. Con el tiempo, Conti se convirtió en la operación de ransomware más grande y se convirtió lentamente en un sindicato de delitos cibernéticos a medida que se hacía cargo de la operación de TrickBot, BazarLoader y Emotet.

Por último, Conti fue el responsable de numerosos ataques durante su tiempo en actividad en muchas organizaciones generando así rescates millonarios. Y según afirma EEUU, Conti es una de las cepas de ransomware más costosas jamás creadas.