Informe 2025 sobre la criptodelincuencia: Vea las tendencias clave que dieron forma al mercado ilícito de criptomonedas durante el año pasado. Leer el informe

SOLICITAR DEMO
Buscar en
Buscar en
Perspectivas
6 de abril de 2022

El análisis de TRM corrobora los presuntos vínculos entre los grupos Conti y Ryuk Ransomware y Wizard Spider

TRM InsightsPerspectivas
El análisis de TRM corrobora los presuntos vínculos entre los grupos Conti y Ryuk Ransomware y Wizard Spider

Principales resultados

Un análisis de mensajes privados filtrados de miembros del grupo Conti, informes de código abierto e investigaciones en cadena de direcciones relacionadas con salarios realizadas por investigadores de TRM indican la existencia de vínculos entre dos grupos de ransomware , Conti y Ryuk. Tanto Conti como Ryuk parecen formar parte del grupo cibercriminal Wizard Spider, responsable de la red de bots TrickBot. 

  • Las investigaciones en la cadena no solo indican que los fondos para el salario pagado por un miembro del núcleo de Conti procedían de una dirección conocida del ransomware Ryuk, sino que las similitudes en el código y otros factores sugieren que Conti es un cambio de marca del ransomware Ryuk. Es bien sabido que los sindicatos de ransomware utilizan esta táctica de cambio de marca para cubrir sus huellas, tal y como describe BleepingComputer.
  • El 27 de febrero de 2022, una persona con aparente acceso interno a la infraestructura de Conti filtró casi 160.000 mensajes de chats internos y otros datos que arrojaban luz sobre más de un año de operaciones de Conti, descubriendo el ecosistema del sindicato, así como cientos de direcciones criptográficas utilizadas para extorsionar a las víctimas y financiar las actividades del grupo. La autentificación de las filtraciones como procedentes de la infraestructura de Conti fue confirmada por la comunidad de inteligencia de amenazas, incluido TheRecord.
  • La filtración fue provocada por la declaración oficial de Conti del 25 de febrero de 2022, en la que anunciaba el apoyo total al Estado ruso y amenazaba al mundo con operaciones ofensivas si se atacaba cualquier infraestructura rusa como posible respuesta a la invasión de Rusia en Ucrania.

Fondo

El ransomware Ryuk, que estuvo activo desde mediados hasta finales de 2018, fue responsable de un gran número de ataques de ransomware que provocaron pérdidas de millones de dólares. Durante varios años, la comunidad de inteligencia de amenazas ha sospechado que tanto el ransomware Ryuk como el Conti eran operados por un único grupo identificado como Wizard Spider por CrowdStrike basándose en las similitudes del código y otros factores. 

Tras el presunto cambio de marca de Ryuk a Conti aproximadamente en mayo de 2020, el ransomware continuó volviéndose aún más destructivo, fusionándose finalmente con el grupo que dirigía la red de bots TrickBot a finales de 2021, según la firma de inteligencia de amenazas AdvIntel. TrickBot surgió inicialmente en 2016 como un troyano bancario diseñado para robar credenciales de usuario e información de identificación personal (PII). Posteriormente, la prolífica red de bots amplió sus capacidades a la recolección de credenciales, la minería de criptomonedas y la penetración en los sistemas de las víctimas para desplegar ransomware. 

Las relaciones comerciales entre TrickBot y Ryuk, de Wizard Spider, siguieron primero un modelo BaaS (Botnet-as-a-Service) y se convirtieron en una asociación tras el cambio de marca de Ryuk a Conti. Trabajando con TrickBot, Conti se convirtió rápidamente en uno de los sindicatos de ransomware más rentables y prolíficos. El investigador de amenazas Jack Cable, que dirige el sitio de crowdsourcing de ransomware ransomwhe .re, estimó que Conti era el grupo más rentable hasta mediados de 2021. 

Fuente de la imagen: Laboratorios TRM

Conti apoya a Rusia y lanza amenazas 

Según las conversaciones observadas en los principales foros de la dark web, la invasión rusa de Ucrania y el conflicto militar en curso han dividido a la comunidad de ciberdelincuentes de habla rusa. En el chat de la dark web, muchos ciberdelincuentes, incluidos los que se dedican a la amenaza del ransomware , expresaron su apoyo a un bando concreto, mientras que otros, como LockBit2.0, intentaron mantener un nivel de neutralidad. El 25 de febrero de 2022, Conti expresó abiertamente su apoyo al Estado ruso y publicó una amenaza al "mundo occidental" en su sitio oficial de extorsión, afirmando que contraatacaría con operaciones ofensivas si se atacaba alguna de las infraestructuras rusas. 

Fuente: Sitio de extorsión de Conti

Poco después de la declaración oficial de Conti, el 27 de febrero de 2022, un individuo con aparente acceso interno a la infraestructura de Conti filtró a través de Twitter supuestos registros de chats internos consistentes en casi 160.000 mensajes, arrojando luz sobre más de un año de operaciones de Conti. El individuo que filtró los chats afirmó en tuits en línea que lo hacía en represalia por el apoyo de Conti a la invasión rusa de Ucrania. La filtración también incluía cientos de direcciones criptográficas, que parecen haber sido utilizadas en la actividad ilícita del grupo para extorsionar a las víctimas y pagar servicios como los salarios de los miembros del grupo. La autentificación de las filtraciones como procedentes de la infraestructura de Conti fue confirmada por la comunidad de inteligencia de amenazas, incluido TheRecord.

Conectando a Wizard Spider, Conti y Ryuk

Un análisis de las filtraciones de Conti, en concreto de la información contenida en los mensajes filtrados relacionada con el pago de salarios, así como del flujo de fondos en la cadena, reveló información única sobre el funcionamiento de Wizard Spider. Los analistas de TRM descubrieron que, a diferencia de la mayoría de los sindicatos de ransomware , Conti implementa un modelo de empleados basado en salarios, además del modelo de afiliados basado en porcentajes utilizado por los grupos RaaSRansomware) tradicionales. 

El análisis en cadena de TRM corroboró los pagos discutidos el 14 de julio de 2020; los chats muestran a los actores "Salamandra", el actor de la amenaza a cargo de RRHH de Conti, y "Stern", un miembro sénior del equipo Wizard Spider, discutiendo sobre un posible candidato a contratar, llamado "bonen". bonen, un codificador con 20 años de experiencia fue contratado con un salario de 150.000 rublos al mes (aproximadamente 2.112 USD en ese momento). Además, bonen recibió 15.000 rublos (aproximadamente 207 dólares estadounidenses) por completar una tarea de prueba. Esta transacción también fue confirmada por el análisis en cadena de TRM.  

La investigación en la cadena también confirmó una transferencia de 85.000 USD de Stern a un jefe de equipo de uno de los equipos de Conti que operaba bajo el alias de "Mango". La transferencia se realizó para pagar el salario del equipo de Mango. Mango solicitó la transferencia a Stern el 19 de julio de 2021, según las filtraciones, para que los fondos pudieran repartirse entre el equipo de casi 100 personas formado por pentesters, codificadores, investigadores de OSINT e ingenieros inversos. Parte de los fondos también se reservaron para pagos de servidores y asignaciones de pruebas para nuevas contrataciones, según los chats entre Stern y Mango.

Fuente: TRM Labs

Investigaciones posteriores identificaron que los fondos para el pago mencionado de Stern a Mango provenían de una dirección conocida de Ryuk ransomware reportada por CrowdStrike en enero de 2019. Esta transacción financiera parece confirmar los vínculos largamente sospechados entre Ryuk y Conti y subraya las tácticas ampliamente adoptadas de cambio de marca por los sindicatos de ransomware para cubrir sus pistas, descritas por BleepingComputer. Sin embargo, a pesar del cambio de marca, las transacciones financieras en criptomoneda realizadas por los grupos dejan un rastro que puede descubrirse, como muestra TRM. 

Fuente: TRM Labs

Los chats revelaron además que Wizard Spider también está trabajando en la creación de un equipo que intentará desarrollar una plataforma Blockchain interna y su propio token para eludir el rastreo de criptodivisas por parte de las fuerzas del orden y los investigadores. 

"Queremos crear nuestra propia criptomoneda, como etherium, polkadot y binance smart chain", dijo Stern a los miembros de su equipo el 28 de junio de 2021. "Tenemos que estudiar los principios, el código y otras cosas para poder basarnos en ellos. Y entonces, seremos capaces de integrar NFT, DEFI, DEX, y todas las tendencias existentes y futuras", añadieron.

"¿Creemos que alguno de nosotros es un gurú de Blockchain y de las tendencias? ¿Alguien tiene alguna idea de la dirección que podemos tomar para desarrollarla?", continuó Stern el 8 de julio de 2021. Las aspiraciones criptográficas de Stern fueron recibidas con menos entusiasmo por otros actores de amenazas como Mango: "Es una gran idea, pero muy complicada al mismo tiempo. Seamos realistas, no podemos manejarlo solos con tan poca experiencia y recursos."

A pesar de que el proyecto Blockchain aún no se ha desarrollado, el interés de los actores de amenazas por expandirse al espacio de las criptomonedas y el Defi suscita una gran preocupación. Basándonos en las charlas, el objetivo general de Wizard Spider es crear un producto blockchain apto para los actores de amenazas. TRM evalúa con un alto nivel de confianza que proporcionaría una fuente adicional de ingresos, así como un entorno de pago controlado internamente para la ciberdelincuencia clandestina. 

Es probable que la araña hechicera siga siendo una amenaza

TRM evalúa que Wizard Spider seguirá siendo una amenaza importante a pesar de los recientes contratiempos, en particular la retirada de su herramienta TrickBot, utilizada durante mucho tiempo, a principios de febrero debido a su alta detección, seguida de la filtración de información interna de Conti. Wizard Spider reanudó rápidamente sus operaciones, publicando su primera víctima el 2 de marzo de 2022 en su sitio de extorsión. Hasta el 23 de marzo de 2022, el sindicato había publicado 41 víctimas en total, de las cuales 22 eran entidades estadounidenses. Es probable que estas víctimas hayan sido violadas por Wizard Spider antes de la filtración y no está claro si el sindicato fue capaz de obtener acceso a nuevas víctimas desde entonces. 

Basándose en el seguimiento del nivel continuado de actividad y los mensajes publicados por Wizard Spider, los analistas de TRM estiman que es probable que el grupo restablezca por completo su capacidad operativa en un futuro próximo y continúe dirigiendo sus operaciones bajo el mismo nombre y sin cambiar de marca. A diferencia de otras grandes operaciones de ransomware , que han declarado públicamente y en la dark web que no tienen como objetivo las infraestructuras críticas, Conti/Ryuk ha seguido teniendo como objetivo el sistema sanitario incluso durante la pandemia COVID-19, como se señala en el informe de Health & Human Services "Conti Ransomware and the Health Sector." 

Los informes de fuentes propias han indicado que otros grupos de ransomware han tenido problemas para mantener el ritmo de todas las entidades a las que han obtenido acceso o para desarrollar una cadena eficaz de accesos, debido a la falta de empleados como programadores, negociadores y otros. El hecho de que Conti se haya centrado en la contratación de personal puede considerarse una prueba de sus esfuerzos por llevar a cabo sus operaciones a escala industrial, facilitando el acceso y la distribución del malware, lo que les ha permitido obtener cientos de millones en pagos a las víctimas a lo largo de los años, según el análisis de TRM.

El proceso de contratación de Conti consiste en la realización de entrevistas y pruebas para medir el nivel de conocimientos del candidato. Para atraer a nuevos empleados, "Salamandra", el actor de la amenaza encargado de los RRHH del grupo, utiliza muchos recursos disponibles, desde foros de la web oscura hasta el sitio ruso de anuncios de empleo comercial hh[.]ru.

Imagen: Sitio ruso de anuncios de empleo comercial hh[.]ru

Según los chats, el salario medio de los actores de amenazas es de casi 2.000 dólares al mes. Aunque ese salario es casi dos veces superior al salario medio en la industria de TI en Rusia según salaryexplorer[.]com, la compensación puede parecer baja si se compara con los millones de dólares en pagos que Wizard Spider recibía de sus víctimas. La posibilidad de gastar un porcentaje relativamente pequeño de sus ingresos en salarios puede ser una de las razones por las que los miembros principales de Wizard Spider prefirieron trabajar con empleados a tiempo completo frente al ransomware de reparto de beneficios que prefieren actualmente la mayoría de los demás grupos de ransomware . 

Outlook

TRM está siguiendo el debate sobre los chats filtrados en la dark web para hacerse una idea de las opiniones de otros actores de amenazas sobre el acuerdo. En el pasado, programadores de la dark web han filtrado el código fuente de malware como represalia cuando consideraban que no se les había pagado un porcentaje suficiente de los beneficios que generaba, como ocurrió en el caso de la filtración de Buhtrap según fuentes propias.

La investigación realizada por los analistas de TRM demuestra lo crítico que puede ser el seguimiento del flujo de fondos para comprender el funcionamiento de las organizaciones cibercriminales. Aunque la criptomoneda ha hecho posible que el ransomware lleve a cabo operaciones exitosas durante años y proporciona un alto nivel de retorno de la inversión para los esfuerzos de los actores de amenazas, la herramienta analítica de blockchain de TRM permite que las investigaciones sigan el flujo de fondos y descubran inteligencia valiosa que ayuda a conectar los puntos. TRM sigue vigilando la actividad de Wizard Spider tanto dentro como fuera de la cadena para ayudar a mitigar el riesgo que supone el ransomware Conti.

Teniendo en cuenta la declaración de Wizard Spider de apoyar al Estado ruso y compartir su agenda política, y su disposición en el pasado a atacar infraestructuras críticas, el sindicato también podría suponer un riesgo para la seguridad nacional debido a su nivel de sofisticación.

Acerca de TRM Labs

TRM ofrece Inteligencia en Blockchain para ayudar a las instituciones financieras, las empresas de criptomoneda y los organismos públicos a detectar, investigar y gestionar el fraude y los delitos financieros relacionados con las criptomonedas. La plataforma de gestión de riesgos de TRM incluye soluciones para la supervisión de transacciones y la detección de carteras, la puntuación de riesgos de entidades -incluida la diligencia debida de VASP- y el rastreo del origen y el destino de los fondos. Estas herramientas permiten a una cohorte cada vez mayor de organizaciones de todo el mundo adoptar con seguridad transacciones, productos y asociaciones relacionados con la criptomoneda.

TRM tiene su sede en San Francisco, California, y está contratando personal en ingeniería, productos, ventas y ciencia de datos. Para obtener más información, visite www.trmlabs.com.

Para informar de una pista a Global Investigations, envíenos un correo electrónico a investigations@trmlabs.com.

Fuentes:

  • hxxps://www[.]zdnet[.]com/article/conti-ryuk-joins-the-ranks-of-ransomware-gangs-operating-data-leak-sites/
  • hxxps://www[.]bleepingcomputer[.]com/news/security/conti-ransomware-shows-signs-of-being-ryuks-successor/
  • hxxps://therecord[.]media/conti-ransomware-gang-chats-leaked-by-pro-ukraine-member/
  • hxxps://www[.]techrepublic[.]com/article/top-5-ransomware-operators-by-income/
  • hxxps://www[.]bleepingcomputer[.]com/news/security/us-targets-darkside-ransomware-and-its-rebrands-with-10-million-reward/
  • hxxps://www[.]hhs[.]gov/sites/default/files/conti-ransomware-health-sector.pdf
Esto es un texto dentro de un bloque div.
Suscríbase y manténgase al día de nuestras novedades
flecha derecha
31 de marzo de 2022

Chris Janczewski, ex agente especial de IRS-CI, se une a TRM para dirigir el equipo de investigaciones globales

flecha derecha
14 de mayo de 2021

Profundizando en el pago del Ransomware Darkside

Acceda a nuestra cobertura de TRON, Solana y otras 23 blockchains

Rellene el formulario para hablar con nuestro equipo sobre los servicios profesionales de investigación.

Servicios de interés
Al hacer clic en el botón siguiente, acepta la política de privacidad deTRM Labs .
Muchas gracias. Hemos recibido su envío.
¡Uy! Algo ha ido mal al enviar el formulario.
No se han encontrado artículos.
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
Informe 2025 sobre la criptodelincuencia: Explore cómo evolucionó el panorama de la criptodelincuencia en el último año
DIG IN NOW →
Cables de fibra óptica azul brillante sobre fondo azul oscuro, con destellos de chispas blancas intercaladas.
INFORME
A medida que la tecnología de IA se vuelve más sofisticada, también lo hacen las formas en que los delincuentes la utilizan. Vea lo que hace TRM para combatir la delincuencia basada en IA.
LUCHA AI CON AI →
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
El panorama de la criptodelincuencia experimentó cambios significativos en 2024, incluyendo descensos en los volúmenes ilícitos. Profundiza en los datos aquí.
VISTA PREVIA DEL INFORME SOBRE DELITOS CRIPTOGRÁFICOS →
Tablero de corcho con fotografías de Heather "Razzlekhan" Morgan e Ilya Lichtenstein, con sus nombres escritos a mano debajo de sus fotos y chinchetas en el tablero conectadas por una cuerda roja.
DOCUMENTAL
Transmite “El atraco más grande de la historia” y mira detrás de escena al equipo de TRM
ÉCHALE UN VISTAZO →
Un círculo bidimensional azul claro (que representa una moneda estable) flotando sobre líneas curvas de color azul oscuro y blanco (que representan ondas), con finas líneas punteadas de color azul y blanco en lo alto para representar el viento.
INFORME
Explore las tendencias macro y los desarrollos jurisdiccionales que dieron forma al panorama de políticas criptográficas globales en 2024
LEA EL INFORME →
Ilustración sobre un fondo azul oscuro que muestra un insecto y un signo de exclamación (que representa una actividad ilícita), un globo terráqueo con puntas de alfiler, una moneda y un gráfico de barras.
INFORME
Vea los países con las tasas más altas de adopción de criptomonedas y las tasas más altas de exposición a actividades ilícitas
LEA EL INFORME AHORA →
Un rectángulo azul con formas geométricas en el fondo y puntos conectados por líneas finas en primer plano, que representan conexiones en la cadena de bloques.
LIBRO BLANCO
Explore cuatro formas en que la TRM mejora el cumplimiento en la era moderna de aplicación de sanciones
Descargar el libro blanco →
Ilustración de un gráfico de pig butchering con varios logotipos de criptomonedas en cada sección, con una insignia de sheriff azul brillante en la parte superior, que simboliza el papel de las fuerzas del orden en la lucha contra el fraude.
CASO EJEMPLO
Vea cómo la ayudante del fiscal Erin West y el grupo de trabajo REACT están luchando contra la delincuencia organizada. pig butchering
VER EL VÍDEO →
Ilustración de un ojo, una calavera con huesos cruzados y un gráfico circular sobre fondo azul claro, que simboliza los peligros de las criptoestafas y el fraude financiero.
INFORME
Explora las tendencias clave que dieron forma a la criptoeconomía ilícita en 2023
OBTENER EL INFORME →
Primer plano del edificio del Capitolio de los Estados Unidos con nieve cayendo
BLOG
Sepa por qué la criptomoneda se ha convertido en un tema central de las elecciones estadounidenses de 2024
LEER EL POSTE
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Profundice en el ecosistema de criptomonedas ilícitas de habla rusa
LEER EL INFORME COMPLETO
Contorno de cerdo con el escudo de las fuerzas del orden superpuesto
Caso práctico
Más información sobre la actuación del Grupo Operativo REACT pig butchering
Leer el Caso práctico
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Explore las tendencias recientes de ransomware en el ecosistema criptográfico de habla rusa, incluido el papel de los grupos ransomware en la ciberdelincuencia en todo el mundo.
OBTENGA EL INFORME
Persona escribiendo en un teclado de ordenador portátil con superposición azul oscuro filtrado
ENTRADA EN EL BLOG
Conozca la oleada de ataques a ransomware del verano de 2024 y la proliferación de RaaS en todo el mundo.
LEER EL POSTE
INFORME
Conozca el papel de las criptomonedas en el mercado internacional de precursores de drogas sintéticas
OBTENGA EL INFORME