Esta semana, un investigador de seguridad ucraniano filtró varios años de registros de chat y archivos del grupo Conti. Conti es un grupo de ransomware que Sophos ha estado siguiendo de cerca durante varios años. El 28 de febrero, informamos sobre un ataque de Conti dirigido a un proveedor de atención médica.
En esos registros de chat, vemos una mención de cómo el grupo Conti intentó, y fracasó, comprar licencias de Sophos Intercept X ( “Endpoint Security”). Según el chat, estaban haciendo esto para poder probar su último malware y ver si los productos de Sophos lo detectaban.
Esta es una estrategia común entre los desarrolladores y grupos de malware: adquieren o roban todo el software de seguridad que pueden para probar si pueden evadirlo de manera efectiva. Esta práctica se observa en toda la industria de la ciber-seguridad, y Sophos toma precauciones para mitigar el riesgo en el desarrollo y las operaciones de sus productos.
Lo que es interesante aquí es que los registros de chat muestran que los intentos de Conti de eludir los productos de Sophos no tuvieron éxito y que, como resultado, intentaron adquirir una licencia para obtener más acceso para sus pruebas.
Obtener acceso a productos de seguridad
Para empezar, podemos ver que el grupo Conti se registró para una prueba gratuita, es posible que se pregunte: “¿Por qué no les impidieron tener una cuenta de prueba?” La respuesta es sencilla: esto podría prohibir inadvertidamente a los usuarios legítimos, y estos “testers” nos brindan inteligencia que nos ayuda a proteger mejor a nuestros clientes y partners.
A continuación, podemos ver que el 27 de mayo de 2020, el grupo Conti intentó actualizar su prueba gratuita comprando el producto completo.
Intentaron hacerlo bajo una empresa ficticia llamada DocSoft, que pretendía tener su sede en Kiev, Ucrania. Se disparó una de nuestras contramedidas para este tipo de actividad: marcamos la cuenta como sospechosa y, con nuestro canal en la región, indicamos que necesitábamos una conversación por video antes de proceder con la transacción.
Esta contramedida fue efectiva, el grupo Conti abandonó la transacción en este punto. Parece que una videollamada era demasiado arriesgada para ellos.
Los registros de chat filtrados coinciden con esta línea de tiempo: podemos ver en los registros publicados que los intentos del grupo Conti por obtener estas licencias fallaron.
Qué más aprendimos de los registros?
Vale la pena señalar que los registros también indican que una de las razones por las que estaban tratando de obtener más acceso a los productos de Sophos es porque nuestros productos frustraron con éxito aspectos de su malware y técnicas. Aparentemente, esperaban probar y usar los productos con licencia completa para descubrir cómo eludir las protecciones que los detenían.
Por qué contar esta historia?
Creemos que es importante que los proveedores de seguridad compartan información sobre cómo los adversarios prueban y compran productos, ya que puede ayudar a otros a estar alerta y conocer las señales importantes para que todos podamos proteger mejor a nuestros clientes.
Como Joe Levy, nuestro director de productos y tecnología, dijo en Twitter en respuesta a la divulgación del chat: “Es mejor invertir en hardening, observabilidad y detecciones mejoradas que en acciones comerciales más allá de la diligencia básica de prueba/evaluación”.