Se cree que muchos miembros de Conti tienen su base en Rusia o regiones circundantes. Durante años, el Kremlin ha hecho la vista gorda en gran medida a los ciberdelincuentes con base en el país, convirtiéndolo en la base de operaciones de varios grupos de ransomware. Los archivos Conti filtrados revelaron que algunos miembros de alto nivel de la pandilla parecen tener conexiones con el estado ruso y los servicios de seguridad. Algunos miembros del grupo han hablado sobre trabajar en temas «políticos» y conocer a miembros del grupo de piratería ruso Cozy Bear, también conocido como Advanced Persistent Threat 29.
“Conti ha reconocido públicamente su conexión con gobiernos extranjeros, específicamente su apoyo al gobierno ruso”, dice la mayor de la Fuerza Aérea de los EE. UU. Katrina Cheesman, portavoz de la Fuerza de la Misión Nacional Cibernética. “Según sus vínculos con Conti y otros indicadores, se evalúa que el liderazgo del grupo del crimen organizado conocido como Wizard Spider probablemente tenga una conexión con entidades gubernamentales dentro de Rusia”, agrega Cheesman.
Desde que se filtraron los Archivos Conti a principios de marzo, varias empresas de ciberseguridad han estudiado detenidamente los documentos. Se cree que el profesor, que está incluido en la llamada de información del programa de recompensas y también está involucrado en Trickbot, supervisa gran parte de la implementación del ransomware y es un «jugador importante» en la operación, según los expertos en seguridad. En otros casos, varios apodos en línea utilizados por actores del grupo Conti pueden ser, de hecho, la misma persona.
Aparte de los Archivos Conti, ha habido otras filtraciones del sindicato de ciberdelincuencia más amplio. A principios de este año, una cuenta de Twitter llamada Trickleaks comenzó a publicar los supuestos nombres y detalles personales de los miembros de Trickbot. El doxxing, que no se ha verificado de forma independiente pero se cree que es al menos parcialmente exacto, muestra fotos de supuestos miembros y sus cuentas de redes sociales, detalles de pasaportes y más.
Jeremy Kennelly, gerente senior de análisis de delitos financieros en la firma de seguridad cibernética Mandiant, dice que la acción continua contra Conti y Trickbot es «crítica» para ayudar a evitar que los grupos de ransomware ganen dinero y ataquen a las empresas. “Quitar el anonimato de los jugadores clave, ofrecer recompensas, incautar fondos ilícitos y hacer declaraciones públicas de intenciones son acciones importantes que pueden ayudar a aumentar los riesgos reales y percibidos de participar en operaciones de ransomware y, en última instancia, pueden tener un efecto escalofriante entre algunos delincuentes. actores y/u organizaciones”, dice Kennelly.
Los funcionarios de Rewards for Justice dicen que publicarán su llamado para obtener información sobre los miembros de Conti en varios idiomas diferentes e instan a las personas a ponerse en contacto a través de un enlace Tor. Se verificarán todas las propinas que reciba y se deben pasar varios pasos antes de realizar un pago. Dicen que es teóricamente posible que se puedan emitir múltiples recompensas de $ 10 millones. Están apuntando específicamente a espacios en línea en idioma ruso, diciendo que los detalles de la recompensa se publicarán en la red social rusa VK y también en foros de piratería.
En las últimas semanas, las actividades de Conti han disminuido, ya que se cree que el grupo está intentando cambiar su marca tras la filtración de sus chats internos. Sin embargo, todavía se cree que muchos de los miembros están activos e involucrados en otros esfuerzos de ciberdelincuencia. Este tipo de ataques de ransomware pueden tener un gran impacto en las empresas y en la sociedad en general.
“Si bien estos no son grupos patrocinados por el estado, habitualmente realizan ataques tan impactantes como cualquier grupo de un estado nacional y deben ser tratados como tales”, dice Allan Liska, analista de la firma de seguridad Recorded Future que se especializa en ransomware. “Es probable que esto no conduzca al arresto de miembros de Conti, a menos que alguno de ellos sea lo suficientemente tonto como para poner un pie fuera de Rusia. La inteligencia que podría recopilarse a través de esta recompensa podría resultar invaluable”.