Una opción de trabajo en la oficina, híbrido o remoto, un equipo de recursos humanos con un estricto proceso de contratación, revisiones de desempeño, progresión profesional y bonificaciones: todo suena como el estándar establecido en cualquier equipo de desarrollo de software.
Pero estas no son las condiciones de trabajo en una empresa de software, sino en Conti, un importante grupo de ransomware responsable de una serie de incidentes de alto perfil en todo el mundo, incluidos ataques cibernéticos que han interrumpido negocios, hospitales, agencias gubernamentales y más.
El mes pasado, Conti, que muchos expertos en seguridad cibernética creen que opera desde Rusia, apoyó la invasión rusa de Ucrania. Esto molestó a alguien que luego filtró meses de registros de chat internos de Conti, proporcionando información privilegiada sobre las operaciones diarias de una de las operaciones de ransomware más prolíficas del planeta.
VER: Hay una escasez crítica de mujeres en ciberseguridad, y debemos hacer algo al respecto
Y aunque las acciones de Conti (hackear redes, cifrar archivos y exigir pagos de rescate de millones de dólares por una clave de descifrado) podrían tener un impacto dramático en las organizaciones que son víctimas, las filtraciones pintan una imagen relativamente mundana de una organización con codificadores, evaluadores. , administraciones de sistemas, personal de recursos humanos y otro personal.
Los investigadores pudieron identificar una variedad de roles laborales diferentes en toda la organización, desde el equipo de RR. como el equipo ofensivo de la pandilla que tiene como objetivo convertir una brecha en una captura total de la red objetivo, y el personal de negociación que intenta hacer un trato con las víctimas.
Muchos de los involucrados en Conti se involucrarán a través de anuncios en foros clandestinos de la web oscura, pero algunos se acercan a través de medios más tradicionales, como sitios web de reclutamiento rusos, servicios de búsqueda de talentos y el boca a boca. Al igual que cualquier otro proceso de contratación, los solicitantes serán entrevistados para garantizar que tengan las habilidades adecuadas y que encajen bien en el grupo.
Según el análisis de las filtraciones realizado por investigadores de seguridad cibernética en Check Point, algunas personas reclutadas por Conti ni siquiera saben que están trabajando para una operación ilegal, al menos al principio; las filtraciones sugieren que a algunos de los entrevistados se les dice que Estamos ayudando a desarrollar software para probadores de penetración.
Un chat filtrado revela cómo un miembro del personal de Conti que, a diferencia de casi todos los demás miembros del grupo menciona su nombre real, estaba confundido acerca de lo que realmente hacía el software en el que estaban trabajando y por qué las personas con las que trabajaba intentaban proteger su tanto las identidades.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
En este caso, su gerente le dice al empleado que está ayudando a construir el backend para el software de análisis. Y esto no fue una excepción; hay muchos miembros de la pandilla Conti que aparentemente no entienden cómo están involucrados en el delito cibernético.
«Hay docenas de empleados que fueron contratados a través de procesos de trabajo legítimos y no a través de foros clandestinos. Es difícil saber cuántos de ellos no entienden en absoluto lo que están haciendo, pero muchos de ellos seguro que no entienden el alcance real de la operación y qué está haciendo exactamente su empleador», dijo a MarketingyPublicidad.es Sergey Shykevich, gerente del grupo de inteligencia de amenazas de Check Point Software.
A veces, estos cómplices inicialmente involuntarios del ciberdelito descubrieron más tarde lo que estaban ayudando a construir. En estos casos, los gerentes intentan tranquilizar a sus empleados con la oferta de un aumento de sueldo; muchos optaron por quedarse, siendo más atractivo el carácter lucrativo del trabajo que renunciar para encontrar otro trabajo.
Si bien muchos de los roles son puramente en línea, los registros de chat de Conti revelan que no es inusual que los miembros del grupo trabajen desde oficinas comunales y espacios de trabajo en ciudades rusas. Una vez más, los registros de chat revelan algunos de los eventos e incidentes cotidianos a los que se enfrentan los empleados; por ejemplo, alguien envió mensajes pidiéndoles a sus colegas que los dejaran entrar porque una puerta estaba atascada desde el exterior.
Las filtraciones han brindado a los investigadores de seguridad cibernética información valiosa sobre cómo funciona una de las operaciones de ransomware más notorias del mundo, así como las herramientas y técnicas que utiliza para extorsionar a las víctimas.
Pero a pesar de la vergüenza para una operación de ransomware de tener tantos datos internos filtrados, especialmente dado que una táctica clave de Conti es amenazar con publicar datos robados si sus víctimas no pagan el rescate, es poco probable que sea el final del grupo. , que sigue publicando información sobre nuevas víctimas.
VER: Una estrategia ganadora para la ciberseguridad (Informe especial de MarketingyPublicidad.es)
Es posible que algunos empleados se vayan, pero incluso para aquellos que sin darse cuenta se apuntaron al delito cibernético, el atractivo de un ingreso confiable podría ser suficiente para alentarlos a quedarse, especialmente porque las sanciones contra Rusia podrían restringir potencialmente sus oportunidades de empleo.
«No veo ningún escenario en el que detengan por completo la actividad del delito cibernético», dijo Shykevich.
«La disponibilidad de puestos potenciales en el sector tecnológico legítimo en Rusia para desarrolladores y evaluadores de penetración se ha vuelto mucho menor, por lo que creo que incluso los empleados involuntarios que ahora entienden lo que están haciendo, pasarán al ciberdelito, ya que será difícil para ellos. para encontrar un trabajo legítimo», agregó.
El ransomware sigue siendo una importante amenaza de ciberseguridad que puede causar una gran cantidad de interrupciones en organizaciones de todo tipo. La mejor manera de defenderse contra el ransomware es asegurarse de que la red esté lo más protegida posible de los ataques cibernéticos, con niveles adecuados de seguridad, incluido el uso de autenticación multifactor en toda la red.
También es fundamental que las organizaciones apliquen actualizaciones y parches de seguridad para las vulnerabilidades de software conocidas lo antes posible, ya que estas, junto con nombres de usuario y contraseñas débiles, son algunos de los puntos de entrada clave que se explotan para ayudar a lanzar ataques de ransomware.
