Esta semana, un investigador de seguridad ucraniano filtró varios años de registros de chat y archivos del grupo Conti. Conti es un grupo de ransomware que Sophos ha seguido de cerca durante varios años. El 28 de febrero, informamos sobre un ataque de Conti dirigido a un proveedor de servicios sanitarios.
En esos registros de chat vemos que se menciona cómo el grupo Conti intentó, y fracasó, comprar licencias de Sophos Intercept X (o “Endpoint Security”). Según el chat, lo hacían para poder probar su último malware y ver si los productos de Sophos lo detectaban.
Se trata de una estrategia habitual entre los ciberdelincuentes: adquieren o roban todo el software de seguridad que pueden para probar si pueden evadirlo con eficacia. Esta práctica se observa en toda la industria de la seguridad, y Sophos toma precauciones para mitigar el riesgo en el desarrollo de sus productos y operaciones.
Lo interesante en este caso es que los registros del chat muestran que los intentos de Conti de eludir los productos de Sophos no tuvieron éxito y que, como resultado, intentaron adquirir una licencia para obtener más acceso para sus pruebas.
Conseguir acceso a los productos de seguridad
Para empezar, podemos ver que el grupo Conti se inscribió en una prueba gratuita, que está disponible online. Quizá te preguntes: “¿Por qué no se les bloquea el acceso a una cuenta de prueba?”. La respuesta es sencilla: cualquier tipo de bloqueo podría prohibir inadvertidamente a los usuarios legítimos, y estos “verificadores” nos proporcionan información que nos ayuda a defender mejor a nuestros consumidores y socios.
A continuación, podemos ver que el 27 de mayo de 2020, el grupo Conti intentó mejorar su prueba gratuita comprando el producto completo.
Intentaron hacerlo bajo la apariencia de una empresa ficticia llamada DocSoft, que pretendía tener su sede en Kyiv, Ucrania. Se activó una de nuestras medidas para este tipo de actividad: marcamos la cuenta como sospechosa y, con nuestro socio de canal en la región, dijimos que necesitábamos una conversación en vídeo antes de proceder a la transacción.
Esta contramedida fue eficaz: el grupo Conti abandonó la transacción en ese momento. Parece que una videollamada era demasiado arriesgada para ellos.
Los registros de chat filtrados coinciden con esta línea de tiempo: podemos ver en los registros publicados que los intentos del grupo Conti por conseguir estas licencias fracasaron.
Qué más hemos aprendido de los registros
Vale la pena señalar que los registros también indican que una de las razones por las que estaban tratando de obtener más acceso a los productos de Sophos es porque nuestros productos estaban frustrando con éxito aspectos de su malware y técnicas. Al parecer, esperaban intentar utilizar los productos con licencia completa para averiguar cómo eludir esas protecciones que les estaban deteniendo.
¿Por qué contar esta historia?
Creemos que es importante que los proveedores de seguridad compartan información sobre cómo los adversarios intentan comprar productos, ya que puede ayudar a otros a estar alerta y a conocer las señales reveladoras para que todos podamos proteger mejor a nuestros clientes.
Como Joe Levy, nuestro director de producto y tecnología, dijo en Twitter en respuesta a la revelación del chat: “Es mejor invertir en el endurecimiento, la obersvación y la mejora de las detecciones que en los trucos comerciales más allá de la diligencia básica de prueba/evaluación”.