Conti evidenciado beneficiándose de la aparición de Emotet

Durante el mes de noviembre Conti ha levantado las alarmas en la comunidad de investigadores, quienes lograron identificar e irrumpir en parte de su infraestructura pudiendo obtener información de la agrupación, sin embargo, no los han podido identificar individualmente o rastrear sus orígenes.

Esta investigación se realiza en medio de la alta atención que presentan los ciberactores de Conti debido a su reciente y directa vinculación con la reaparición de Emotet, por lo que cada vez se suman más antecedentes a los ya conocidos.

De esta forma, Conti permanece siendo una amenaza altamente potente que aún se encuentra en el Top1 de ransomwares con mayor volumen de víctimas diarias, mensuales e históricas entre sus pares.

Gráfico de actividad Conti Ransomware del período enero -octubre. Gráfico interactivo disponible en: https://www.panoramas.cci-entel.cl/amenazas

Ransomware Conti

Mapa de calor Conti

Como se ha mencionado en el boletín “APT TA551 reconocidos como una amenaza de grandes capacidades y alta sofisticación“, Conti es un agrupación de ciberactores compuestos de múltiples afiliados que colaboran por un objetivo en común y que han permanecido vigentes aproximadamente desde 2019 sin ser descubiertos ni detener sus operaciones, logrando cada vez mayor reputación y representando el alto nivel de expertis de sus operadores.

Recientemente se han divulgado mecanismos de penetración (tarea de sus afiliados) que por medio de campañas de phishing realizan envíos de documentos ofimáticos cargados con macros maliciosas que desencadenan la descarga y ejecución de malware, conexión a C2 y posterior despliegue de ransomware.

Vinculación con Emotet como vector de entrada

Mapa de calor Emotet

Durante el último mes ha tomado gran relevancia la afiliación generada entre Conti y Emotet, los cuales se encontraban fuera de actividad desde comienzos de 2021 y que han comenzado a reconstruir su infraestructura de botnet mediante el apoyo de TrickBot y Qbot ya desplegados en equipos infectados.

De lograr su reestructuración con éxito, Emotet podría brindar a Conti acceso inicial a escala industrial de forma altamente sofisticada aumentando aún más la cantidad de víctimas y de esta forma las recompensas obtenidas, ya que en el último tiempo han comenzado a implementar nuevas técnicas aparentemente de creación propia para engañar a las víctimas, como por ejemplo, simulan recordatorios de actualización de Adobe PDF (que contienen malware) para que los usuarios hagan clic y se ejecute la infección.

Esta nueva técnica implementada se realiza mediante links de descarga de sitios aparentemente oficiales que poseen certificados válidos, por lo que su detección para ojos inexpertos se torna cada vez más compleja.

Investigadores irrumpieron en la infraestructura de Conti

Investigadores han logrado identificar indicadores de compromiso de Conti que tras su análisis los han llevado hacia la infraestructura alojada en la clear web, específicamente diseñada para el proceso de pagos de sus secuestros. De esta forma, según indica el reporte creado por los investigadores, lograron irrumpir en la infraestructura de los cibercriminales por cerca un mes aproximadamente, en donde pudieron capturar diferentes indicadores de compromiso como billeteras de crypto divisas, estados de cuenta, IP’s de sus servidores, web hosting, entre otros. Sin embargo, el resultado del descubrimiento se vio truncado al momento de querer identificar a los administradores, ya que sus conexiones y localizaciones se encuentran ocultas tras túneles cifrados dentro de la red TOR, lo que, de no tener suficientes sensores dentro de la red, podría llegar a ser altamente complejo.

Tras esta publicación, el grupo de ciberactores respondió rápidamente jactándose de sus capacidades, indicando que sus ganancias son múltiples veces superior a lo indicado por el reporte y que el incidente habría sido resuelto, proporcionando aún más seguridad que antes. 

Leaks 

Un usuario en Twitter ha liberado el acceso a su sitio web en la cual dispone de documentación respecto a este ciberactor, incluyendo múltiples archivos de entrenamiento y software utilizados por la organización para el reclutamiento de sus afiliados en lenguaje inglés y ruso.

Características de Ransomware Conti

• Grupo con muchos años de trayectoria, capaces de trabajar en conjunto con múltiples afiliados, lo que demuestra ser una APT con gran reputación y alto poder de negociación.
• Aparentemente no les importa generar gran ruido mediático ya que se sienten seguros y protegidos en su infraestructura. 
• Colaboración con Emotet podría resultar en un número aún más elevado de víctimas.
• Conti encabeza la lista en cantidad de víctimas mensuales e históricas

En base a las campañas evidenciadas es importante destacar que Conti y Emotet han demostrado ser altamente sofisticados, manteniendo nexos con ciberactores de gran relevancia en todo el mundo lo cual los identifica como una amenaza latente a nivel global.

Actualmente Conti mantiene el mayor número de víctimas mensuales y anuales entre sus pares, que sumado a las capacidades que Emotet le podría entregar cuando se encuentre totalmente operativa, probablemente genere una reorganización del programa de afiliados, del manejo de la data secuestrada y la distribución de recompensas.

Por otra parte, es importante mantener en observación que sucede con la infraestructura de CONTI, ya que podrían superar su capacidad organizacional y de procesamiento de datos llevándolo a un nivel inmanejable o de lo contrario demostrar que tan amplias son sus capacidades.

Es posible visualizar que Emotet y Conti presentan actividad histórica a nivel global, por lo que su trabajo en conjunto podría llegar a ser ampliamente intrusivo.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.