Así opera Conti, el grupo criminal que activó la alerta de ciberataque en el Ministerio de Hacienda

Los ciberataques del grupo Conti aumentaron a más de 1.000 a nivel internacional, en los últimos meses, según un informe de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) publicado en febrero anterior. Aunque el organismo estadounidense no detalló amenazas específicas, recomendó tomar medidas preventivas para los administradores de redes públicas y privadas.

“En los ataques típicos del ransomware (programa extorsivo) Conti, los ciberdelincuentes roban archivos y documentos de servidores, para luego exigir el pago de un rescate”, se informó en un comunicado de CISA.

El aviso emitido por la organización estadounidense no es el primero. Desde mayo del 2021, la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) emitió una alerta sobre ataques en Estados Unidos (EE. UU.) del grupo cibercriminal dirigido a redes de atención médica y de primeros auxilios, servicios médicos de emergencia, centros de despacho del 911 y municipios.

“Como la mayoría de las variantes de ransomware, Conti normalmente roba los archivos de las víctimas y encripta los servidores y computadoras de los lugares atacados como medio para forzar el pago de un rescate (...) Si no se paga el rescate, los datos robados se venden o son publicado en un sitios controlado por Conti”, se explica en el informe elaborado por la División Cibernética del FBI.

La información obtenida por el buró de investigación estadounidense revela que la exigencia de dinero ha llegado hasta los $25 millones.

En el caso del ataque costarricense, el grupo Conti divulgó, este domingo 17 de abril, una presunta acción por medio de la cual habría obtenido un terabyte (1.000 gigabytes de almacenamiento) de información de las bases de datos de la Administración Tributaria Virtual (ATV), del Ministerio de Hacienda, y amenaza con hacerla pública el 23 de abril, a menos de que se haga un pago.

El Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR), del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), divulgó desde el año pasado una alerta técnica sobre la actuación maliciosa del Grupo Conti.

“En setiembre del 2021 y el 15 de marzo de este año, como parte del monitoreo constante que realizamos y la comunicación que tiene el CSIRT-CR con todas las instituciones del Estado, enviamos alertas sobre esta amenaza informática”, aseguró Jorge Mora, director de Gobernanza Digital.

Mario Robles, fundador de la empresa de seguridad WhiteJaguars CyberSecurity, comentó que los ciberdelincuentes de Conti soy muy conocidos en EE. UU., en donde se habla de sus lazos con Rusia.

“El hecho de que hayan pasado por Costa Rica no es una sorpresa. Todos estos presuntos ataques que realizan ellos los divulgan en páginas en la deepweb (red profunda)”, explicó Robles.

El especialista agregó que Conti, mediante el uso de diferentes técnicas, lo que busca es que la víctima descargue un software malicioso dentro de los sistemas de la organización para, posteriormente, sacar la información usada para las extorsiones.

“Imaginemos que un grupo criminal redacta un correo que se hace ver bastante convincente, como de un banco que dice que le van a cerrar la cuenta si no hace X, Y o Z, como hacer click en tal lugar. Si la persona accede, descarga un software y si esa persona trabaja para una organización y lo está haciendo desde la computadora de la organización, potencialmente puede estar soltando un malware que básicamente empieza a hacer cosas como revisar la computadora, tratar de sacar información”, ejemplificó Robles.

En su Informe sobre delitos en Internet 2021, el FBI le atribuyó a este grupo delictivo 87 incidentes el año pasado, solo en el país norteamericano.