Karakurt Hacking Team y Diavol confirmados como extensión de operaciones de Conti

Conti es una variante de ransomware dirigida por ciberactores de origen ruso surgido durante inicios de 2020 que actualmente se destaca por ser la agrupación con mayor volumen de víctimas en su registro histórico, y que tras su reciente apoyo a Rusia en el conflicto con Ucrania ha sufrido ciberataques en forma de represalia que ha concluido en un leak con información actualizada sobre sus chats de operaciones. Esta data ha sido extraída desde un registro de logs de su servidor de jabber para comunicaciones internas.

Por otra parte, el grupo de amenazas motivado financieramente que opera bajo el nombre autoproclamado, "Karakurt" comenzó a aumentar los ataques a fines del tercer trimestre de 2021 y continuó hasta el cuarto trimestre. La presencia de Karakurt se identificó por primera vez en junio de 2021 cuando registró sus aparentes dominios de sitios de leaks. Se observó por primera vez la intrusión de Karakurt en septiembre de 2021, cuando ocurrieron múltiples avistamientos en un corto período de tiempo. El grupo de amenazas ha afirmado haber afectado a más de 40 víctimas en múltiples industrias entre septiembre y noviembre de 2021.

El grupo Conti no se hizo esperar con su pronunciamiento, indicando el día 25 de febrero, publicando en su sitio de leaks en la darknet, un mensaje brindando su apoyo al gobierno ruso e indicando, además, su total disposición de “utilizar todos los recursos necesarios para atacar de vuelta la infraestructura crítica del enemigo”.

Mensaje de Conti al inicio de la guerra Rusia - Ucrania.

Posteriormente, el mismo grupo anunciaba que “no era aliado de ningún país” y que sus acciones serían en respuesta a agresiones “contra la infraestructura crítica de Rusia o cualquier región de habla rusa”.

Advertencia del grupo Conti.

Dos días más tarde, durante el día 27 de 2022, era anunciado por diferentes medios, la filtración de datos de diferentes acciones del grupo Conti, conteniendo información de operaciones, chats y otros datos interesantes que pusieron en evidencia la organización de los operadores, así como otros “brazos” paralelos de actividades llevadas a cabo por los mismos actores de amenaza.

Este grupo se enfoca principalmente en comprometer a las organizaciones para extraer información privilegiada y extorsionarlas, en lugar de desplegar ransomware como lo haría normalmente un grupo de amenazas.

El grupo no se dirige a tipos de industrias u organizaciones específicas, pero tiende a apuntar a MSP y SMB (proveedores y empresas de hasta tamaño medio), prefiriendo comprometerse silenciosamente y exfiltrar lo que necesitan en lugar de hacer una declaración pública.

Sitio Web Leaks Karakurt

Su "modus operandi" es utilizar credenciales de VPN legítimas, ya sean suplantadas de identidad o compradas, para obtener acceso a la red de destino. Una vez consolidado el acceso, efectuarán silenciosamente movimiento lateral, robando contraseñas con herramientas como Mimikatz y estableciendo persistencia usando aplicaciones como Cobalt Strike y recientemente AnyDesk.

Karakurt opera con poca interrupción y con un enfoque principal en la extorsión, priorizando las ganancias y no la “reputación”, a diferencia de un grupo “más grande” que podría tratar de hacer una declaración “pública” atacando grandes industrias y nombres populares por notoriedad y el gran rescate posterior que podrían ganar. 

Posterior a la exposición de datos que afectó al grupo Conti, la firma de ciberseguridad turca Infinitum IT inició una investigación, donde pudo acceder a varias cuentas de Protonmail y Mega, utilizadas por uno de los miembros clave del grupo Conti Ransomware. 

Luego de un minucioso análisis, se observó que los actores de amenazas usaban varias cuentas de Protonmail por motivos de OPSEC, del que se pudo obtener contenido del tráfico de correo,  evidenciando múltiples correos electrónicos provenientes del servicio VPS ruso llamado Inferno Solutions.

Uno de los correos Protonmail utilizado por el grupo Conti

Luego de la obtención de algunas claves de acceso, el equipo de investigación tuvo acceso remoto en uno de los servidores VPS de Windows que se utiliza como sistema de almacenamiento de datos, el que contenía más de 20 TB de datos de víctimas robados.

Acceso FTP a servidor de datos de los atacantes

Posteriormente, el equipo se conectó al servidor web de blogs de Karakurt , en el que se pudo apreciar que todos los datos robados habían sido categorizados por un software que estaba siendo desarrollado por miembros de Karakurt. Durante el análisis, se encontró un Panel de administración utilizado por Karakurt y los datos de LOG del servidor. El panel de administración se utiliza para visualizar y filtrar todos los archivos robados.

Servidor del Blog de Karakurt

Dentro de la estructura de este servidor, se halló igualmente el panel de acceso y administración del sitio, el que entre otras informaciones, poseía archivos de direccionamiento y reenrutamiento de tráfico, utilizado para operar en sitios .onion.

Sitio de acceso a panel de administración blog Karakurt.

Además de lo anterior, otros importantes hallazgos relacionados a las operaciones llevadas a cabo por este grupo y Conti, fueron descubiertas luego de la investigación efectuada por Infinitum IT.

Posterior a la investigación y de acuerdo a los datos recopilados en esta investigación, se concluyó que:

• Se realizó una conexión a la dirección IP 209[.]222[.]98[.]19, donde el grupo de extorsión Karakurt alojaba su sitio y publicó datos robados de víctimas que negaron el pago.
• Varias billeteras de Karakurt enviaron criptomonedas a billeteras aparentemente administradas por Conti. Además, las direcciones de pago de las víctimas de Karakurt alojadas en las billeteras Conti apuntan a una fuerte conexión.
• Además, una víctima había pagado previamente a Conti para desbloquear sus datos. Más tarde, ese cliente en particular fue comprometido por Karakurt a través de la puerta trasera Cobalt Strike dejada por Conti.
• El grupo Karakurt compartió su infraestructura tecnológica con los operadores de Diavol Ransomware durante algun tiempo, lo que sugiere que Conti controlaba a ambos grupos, relacionando los pagos y extorsiones en ambas vías (Ransomware y amenaza de fuga de datos).
• El análisis de la cadena de bloques reveló las conexiones de Diavol con Karakurt y Conti. 
• Una de las direcciones de extorsión utilizadas durante un ataque de Diavol contenía direcciones utilizadas durante los ataques de ransomware Conti, lo que indica que el grupo es operado por los mismos atacantes que operan Conti y Karakurt.

Es evidente que Karakurt y Diavol son subgrupos o extensiones de Conti para monetizar ataques de cifrado fallidos. Además, Conti se ha vuelto lo suficientemente grande como para expandir sus operaciones de ciberdelincuencia. Por lo tanto, se sospecha que Conti puede intentar ampliar aún más su alcance desarrollando más conexiones y obteniendo el apoyo de otros grupos.

En este escenario, las campañas de Conti no están lejos de conflictos con sus afiliados, teniendo en cuenta que, durante agosto de 2021, ya habría sufrido un leak de datos, relacionando la liberación de un “libro de instrucciones” para llevar a cabo sus operaciones. 

No es extraño que en un futuro próximo existan nuevas publicaciones de datos de este tipo, asociadas a otros partners, insatisfechos por el servicio o por desacuerdos internos en el grupo.

En base a las campañas evidenciadas, es importante destacar que Chile ha sido víctima reciente de Conti Ransomware, por uno de sus ataques durante la segunda semana de abril del presente año, considerando también que el modo de operación de este grupo en particular considera la distribución de sus artefactos por medio de la conocida “Bazar Backdoor” botnet, la que mantiene presencia en casi todo el planeta, siendo parte de grandes infraestructuras de ataque y control de recursos que ayudan a los actores maliciosos a distribuir sus campañas con mayor escalabilidad y control.

Finalmente, indicar que la posibilidad de expansión de este grupo es cada vez evidente, por cuanto en este punto y con las evidencias obtenidas, todo apunta a que se ha convertido en una “empresa” en expansión, teniendo como base lo que habría ocurrido en campañas llevadas a cabo por TA551, grupo que ha utilizado vectores de ataque que han sido revelados también en el leak de datos de Conti.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP.
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.