Conti no está muerto para nada. El grupo de ransomware continúa muy activo. De hecho, tras dos años de actividad, ha llegado a nuevos niveles de efectividad de campañas y ataques individuales, apuntando a más de 160 industrias de todo el mundo.
Hasta la fecha Conti ha interrumpido las operaciones de más de 850 empresas, agencias gubernamentales y todo un país. Actualmente representaría el 16% de todos los ataques de ransomware.
En un informe específico sobre esta pandilla el proveedor de seguridad Group-IB asegura que su mayor 'hazaña' habría sido comprometer a más de 40 organizaciones en un solo mes. Eso son 1,3 organizaciones cada día.
El informe recoge que Conti hasta el momento se ha centrado en media docena de industrias: fabricación, Real Estare, transporte, servicios profesionales, comercio y bienes de consumo.
Conti ha sido vinculado con hackers rusos. EE.UU. es, de calle, su principal objetivo, concentrando el 48% de los ataques en el primer trimestre de 2022. De hecho, el gobierno del país los tiene en búsqueda y captura y ofrece una recompensa de 15 millones de dólares para quien ayuda a capturar al cabeza de la pandilla.
La última campaña de Conti, denominada ARMATTACK, se caracteriza por ser "rápida como un rayo", según comparte Group-IB. La velocidad de ejecución de Conti desde el acceso inicial a los compromisos del controlador de dominio abarcan unos 3 días, utilizando una combinación de exploits, conjuntos de herramientas maliciosos conocidos, funcionalidad nativa de escritorio remoto de Windows y phishing selectivo.
Como Conti opera en un modelo de Ransomware como servicio, Group-IB los ve como un "jugador notorio que ha creado una empresa de TI cuyo objetivo es extorsionar grandes sumas". Esto hace que Conti sea muy peligroso y debería hacer que las organizaciones aumenten los esfuerzos para detener los ataques iniciales de los afiliados de Conti a través de defensas mejoradas, incluida la capacitación en conciencia de seguridad.
No estaba muerto
El proveedor de inteligencia de amenazas AdvIntel contaba hace unas semanas cómo la caída de este colectivo se venía desarrollando desde febrero, cuando Conti mostró su apoyo público a Rusia y eso llevó a que vieran filtrada gran parte de su información gracias a muchos hacktivistas.
Pese que el cerco al grupo se ha ampliado y el fin parecía inminente, se ha encontrado Conti se habría reorganizado y cambiado de nombre. Los investigadores aseguran que su cierre no ha sido una decisión "espontánea", sino que se trata de "un movimiento calculado".
Conti no habría obtenido ningún pago de rescates por los ataques de ransomware desde febrero, según estos expertos en ciberseguridad. Las víctimas de Conti no habrían pagado por miedo a ser sancionadas por el gobierno de EE.UU. Todo esto habría llevado a un necesario cambio de marca para hacerse más difícil de detectar.