Luego de haber “cumplido su cometido” con el último y más mencionado ataque en Costa Rica, hay fuertes rumores que apuntan que la banda de ciberdelincuentes Conti ha cerrado sus operaciones y ha decidido migrar a otros ransomware más pequeños, sin despertar sospechas.

Se dio a conocer que, la infraestructura interna de la banda ha sido desactivada, mientras que los sitios de filtración de datos "Conti News" y de negociación de rescates que se presentan al público siguen en línea, Boguslavskiy de Advanced Intel dijo que los paneles de administración Tor utilizados por los miembros para llevar a cabo las negociaciones y publicar "noticias" en su sitio de filtración de datos están ahora fuera de línea.

Si bien puede parecer extraño que el Conti "cierre" en medio de su guerra de información con Costa Rica, Boguslavskiy indica que “Conti llevó a cabo este ataque muy público para crear una fachada de una operación en vivo mientras los miembros del Conti migraron lentamente a otras operaciones de ransomware más pequeñas.”

Se cree que el objetivo de Conti con el último ataque era utilizar la plataforma como herramienta de publicidad, realizando su propia muerte y posterior renacimiento de la forma más plausible que se podía concebir.

Aunque la marca de ransomware Conti ya no existe, el sindicato de ciber delincuentes seguirá desempeñando un papel importante en el sector del ransomware durante mucho tiempo.

Boguslavskiy dijo que, en lugar de cambiar de marca y convertirse en otra gran operación de ransomware, los dirigentes de Conti se han asociado con otras bandas de ransomware más pequeñas para llevar a cabo los ataques.

En virtud de esta asociación, las bandas de ransomware más pequeñas obtienen una afluencia de "pentesters" o profesionales en penetración de sistemas, negociadores y operadores experimentados de Conti. El sindicato de ciber delincuentes Conti gana movilidad y una mayor evasión de la aplicación de la ley al dividirse en "células" más pequeñas, todas ellas gestionadas por un liderazgo central.

Se dice que ahora Conti se ha asociado con numerosas operaciones de ransomware muy conocidas, como HelloKitty, AvosLocker, Hive, BlackCat y BlackByte, entre otras.

Tanto investigadores como periodistas que desde un inicio han estado tras el rastro de Conti, aseguran que el cambio de marca no es una sorpresa.

La operación de ransomware Conti se lanzó en el verano de 2020, después de tomar el lugar del ransomware Ryuk. Al igual que Ryuk, Conti se distribuyó a través de asociaciones con otras infecciones de malware, como TrickBot y BazarLoader, que proporcionaron el acceso inicial a la banda de ransomware.

Con el tiempo, Conti creció hasta convertirse en la mayor operación de ransomware, convirtiéndose poco a poco en un sindicato del cibercrimen al hacerse cargo de las operaciones de TrickBot, BazarLoader y Emotet.

Conti fue responsable de numerosos ataques durante su época, incluidos los realizados contra la ciudad de Tulsa, las escuelas públicas del condado de Broward y Advantech.

Obtuvieron una amplia atención de los medios de comunicación después de que atacaran el HSE (Servicio Ejecutivo de Salud, por sus siglas en inglés) y el DoH (Departamento de Salud, por sus siglas en inglés) de Irlanda, dejando fuera de servicio los sistemas informáticos del país durante semanas.

Al final, la banda de ransomware proporcionó un desencriptador gratuito al HSE de Irlanda, pero en ese momento, estaban firmemente en el punto de mira de las fuerzas de seguridad de todo el mundo.

Sin embargo, no fue hasta que Conti se puso del lado de la invasión rusa de Ucrania cuando la marca Conti se volvió increíblemente tóxica y su destino quedó sellado.

Después de ponerse del lado de Rusia, un investigador de seguridad ucraniano comenzó a filtrar más de 170.000 conversaciones de chat internas entre los miembros de la banda de ransomware Conti y el código fuente del encriptador de ransomware Conti.

Una vez que este código fuente se hizo público, otros actores de la amenaza empezaron a utilizarlo en sus propios ataques y un grupo de hackers utilizó el encriptador Conti en ataques contra entidades rusas.

El gobierno estadounidense considera que Conti es una de las cepas de ransomware más costosas jamás creadas, con miles de víctimas y más de $150 millones USD en pagos de rescates.

Las hazañas de la banda de ransomware Conti han llevado al gobierno de EE.UU. a ofrecer una recompensa de hasta $15.000.000 USD por la identificación y localización de los miembros de Conti en puestos de liderazgo.

Ahora bien, con toda la posible integración de la banda muchos se preguntan qué pasará con el ataque de las instituciones que han sido tomadas en Costa y Rica y aún no han podido re establecer sus servicios. Se espera que en las siguientes horas el gobierno del país centroamericano de algún comunicado en base a lo que está ocurriendo con los ciber delincuentes y cuáles serán los pasos a seguir para el total restablecimiento de las instituciones que fueron víctimas de Conti.