Lo que hemos aprendido del cibercrimen ruso tras el hackeo a una mafia pro-Putin

La invasión de Vladímir Putin a Ucrania ha abierto un peculiar capítulo de la historia de Internet. La agresión militar fue contestada por una guerrilla digital partidaria de Ucrania que comenzó a lanzar ataques diarios contra objetivos rusos: tras años casi inactivo, Anonymous se reactivó y se ha centrado en torpedear la censura que el Kremlin impone a sus ciudadanos, mientras otros grupos han tumbado infraestructuras como ferrocarriles, fábricas de armas e instituciones oficiales. En un inesperado giro de guion, capos del cibercrimen alzaron la voz a favor de Putin y avisaron de que cualquiera que ataque las infraestructuras críticas de Rusia se convertiría en su enemigo.

Una de las mafias que tomó partido fue Conti, la organización que saca más dinero del cibercrimen a nivel internacional, según los principales analistas. Pero lejos de amedrentar al movimiento hacktivista a favor de Ucrania, la jugada de Conti la convirtió en un objetivo más de la ciberguerra. Apenas unas horas después de que tomara partido, la mafia veía como se filtraba toda la base de datos de su sistema de comunicación interno y varios de sus documentos de trabajo. No se conoce a ciencia cierta quién fue el autor del ataque, aunque los investigadores sospechan que fue un miembro de la banda de origen ucraniano que se rebeló contra sus capos.

En lo que sí coinciden varias fuentes consultadas por elDiario.es es en que la filtración es legítima. Se trata de los chats internos de Conti, que han servido para confirmar muchas de las hipótesis de los expertos en ciberseguridad sobre el funcionamiento del cibercrimen ruso, además de aportar luz en cuestiones como su inversión en salarios o sus relaciones con el Kremlin. “Es una mezcla entre una estructura muy profesional con un funcionamiento que a veces es un poco chapuzas”, resume Juan Caballero, investigador del Instituto IMDEA Software (Instituto Madrileño de Estudios Avanzados).

Estructura profesional del ciberataque

Una de las primeras características de Conti que quedan claras en las revelaciones es que su estructura es muy similar a la de una compañía privada cuyo negocio es el ciberataque. “Tienen sus equipos de desarrollo, de soporte, un departamento que se encarga de negociar con las víctimas, otro que se dedica a blanquear el dinero de las criptomonedas e incluso uno de captación de talentos. A efectos prácticos no se diferencia mucho de una empresa de tamaño medio”, expone Josep Albors, director de Investigación de la firma de ciberseguridad ESET.

Los documentos muestran que la organización oscila entre los 50 y los 100 empleados según la marcha del negocio. Conti está especializada en ataques de ransomware, que secuestra los sistemas informáticos de la víctima y le exige el pago de un rescate por recuperarlos. “Contratan a gente dependiendo de sus necesidades a través de empresas pantalla”, continúa Albors. “Dependiendo de las campañas que estén realizando, refuerzan el equipo de desarrollo de ransomware, fichan a más gente para conseguir la infiltración inicial o, directamente, contratan a especialistas para limpiar todas las criptomonedas que consiguen y transformarla en dinero contante y sonante”.

Hay veces que esas personas saben para quién están trabajando, pero en ocasiones creen que realizan esas labores para la empresa pantalla que les ficha.

Ciberdelincuentes mal pagados: “Muchos están quemados”

Los chats internos de la empresa muestran las conversaciones del día a día entre sus miembros. Varias conversaciones han revelado que el salario base de los trabajadores rasos de Conti está entre los 1.500 y los 2.000 dólares (1.300 a 1.800 euros).

“No es que estén muy mal pagados teniendo en cuenta los estándares del este de Europa, pero comparado con los trabajos que pueden tener en su sector, pues sus condiciones en Conti no son demasiado buenas. Además como tienen víctimas alrededor de todo el mundo tienen que trabajar 24/7, por lo que hacen turnos y al final trabajan muchas horas”, apunta Caballero, de IMDEA Software.

“Hay muchos que están quemados”, detalla el investigador: “Al final es como tener acceso al Slack de una empresa, donde tienes a los trabajadores de los diferentes departamentos comunicándose”, apunta Caballero. “Se puede ver a los managers metiendo presión a los trabajadores y apretándoles. Hay mucha explotación, se ven las quejas de los trabajadores y que se les va mucha gente por este motivo”, continúa.

Según la consultora Chainalysis, Conti ganó al menos 180 millones de dólares en 2021 (unos 165 millones de euros). Se trata de un cálculo conservador, basado sobre todo en las criptomonedas que cobran. Sin embargo, la filtración muestra que solo invierten unos 3 millones en salarios, por lo que su cúpula está ingresando sumas millonarias.

Atención al cliente: cobrar dos veces

Uno de los departamentos de Conti es el equipo de “atención al cliente”. Es el que se pone en contacto con la empresa que ha caído víctima del ciberataque y le explica cómo proceder para recuperar sus archivos. Pero como cada aspecto de Conti, mezcla estructura profesional con mafia cibercriminal: llegará el momento en que exija a la víctima un segundo pago.

“Intentan cobrar una vez a la empresa a cambio de la llave con la cual pueden desencriptar sus archivos y volver a tener acceso a sus datos. Ese es el primer pago. Luego intentan obtener un segundo pago, que es a cambio de no publicar la información a la que han tenido acceso”, explica Caballero: “Hay empresas que hacen los dos pagos, pero se ve que hay algunas que les dicen mira, los datos me dan igual porque tengo una copia de seguridad de los datos y los puedo recuperar, pero lo que quiero es que no los divulgues”.

Colaboradores comprados

Otro de los detalles que muestran las filtraciones es que hay otros perfiles fuera de la estructura de Conti que colaboran para que la mafia consiga sus objetivos a cambio de una comisión. “En los chats se habla por ejemplo del caso de un periodista que dicen que por un 5% del rescate les puede ayudar a apretarle las clavijas a la víctima, aumentando la presión para que pague”, revela Caballero.

Hay un periodista que dicen que por un 5% del rescate les puede ayudar a apretarle las clavijas a la víctima, aumentando la presión para que pague

La mafia también tiene una relación muy estrecha con algunas de las empresas que se dedican a hacer de intermediarias entre las víctimas y Conti. Las conversaciones de sus miembros apuntan a que algunos de los trabajadores de esas empresas les filtran información sobre hasta qué punto pueden apretar a los ciberatacados o si tienen un seguro que vaya a correr con los gastos o no, un detalle al que los gangsters digitales dan mucha importancia para saber si podrán continuar la extorsión en el futuro.

Inversión en antivirus

A través de sus empresas pantalla, Conti paga por las licencias de varias de las herramientas de ciberseguridad más avanzadas. Las llevan al laboratorio y las miden contra su ransomware, entrenándolo hasta que es capaz de superar las barreras del antivirus que quieren doblegar. “Buena parte de la inversión que realizan es para intentar evadir las soluciones de seguridad porque saben que son su principal enemigo. De hecho, muchas de las intrusiones lo primero que intentan hacer es conseguir acceder al controlador de dominio y desactivar el antivirus si no está debidamente protegido, porque saben que si no lo hacen se les detecta y se termina el chollo”, dice Albors, de ESET.

Vínculos con el Kremlin

Los investigadores consultados apuntan a que no hay indicios en la filtración que señalen que Conti está al servicio directo del Kremlin. No obstante, los documentos muestran que sus cargos medios y altos sí tienen una relación fluida con funcionarios rusos.

“Está claro que tienen muchos contactos. Aparece que ellos siempre intentan contentarles, porque al final uno de sus principales problemas es evitar que vayan a por ellos”, dice Caballero, que recuerda que aunque Rusia suele dar manga ancha a las bandas de cibercriminales que operan desde su territorio a cambio de que estás se centren en objetivos occidentales, sí ha habido casos en los que las autoridades del país han actuado contra ellas. “Tienen que jugar siempre con tener contento al gobierno ruso. En los chats aparece que una vez les encargaron directamente que investigaran a los periodistas de Bellingcat a raíz de una entrevista a Navalni [opositor ruso detenido]”.

“Desaparece un par de semanas”

La principal preocupación de los trabajadores y jefes de Conti que aparece en su sistema de comunicación no son las firmas de ciberseguridad o autoridades occidentales, sino que esa relación con el Kremlin se tuerza. “Sale que lo que más les preocupa son las acciones legales. Hay momentos que se ve que se dan cuenta de que les están investigando dentro de Rusia. En un chat uno dice que sabe que le están siguiendo y le responden que no se preocupe y le dicen 'desaparece un par de semanas y todo esto va a pasar'. Saben muy bien cómo actuar”, expone el investigador del IMDEA Software.