Conti Ransomware: expuesto en medio de guerra ruso - ucraniana

01 Marzo 2022
Alto

Conti es una variante de ransomware dirigida por ciberactores de origen ruso surgido durante inicios de 2020 que actualmente se destaca por ser la agrupación con mayor volumen de víctimas en su registro histórico, y que tras su reciente apoyo a rusia en el conflicto con ucrania ha sufrido ciberataques en forma de represalia que ha concluido en un leak con información actualizada sobre sus chats de operaciones. Esta data ha sido extraída desde un registro de logs de su servidor de jabber para comunicaciones internas.

 

Conti Ransomware

Conti es una variante sofisticada de ransomware que surgió en febrero de 2020. A diferencia de la mayoría de sus pares, el ransomware Conti cifra significativamente los archivos en las máquinas de las víctimas más rápido, ejecutando 32 subprocesos simultáneos y utilizando toda la potencia informática que tienen los sistemas afectados. Como resultado de eso, los dispositivos con CPU multinúcleo obtienen cifrado más rápido. 

Además, tiene la capacidad de cifrar discos duros locales, recursos compartidos de red y otros dispositivos en la red local. Para cifrar los datos, Conti utiliza un método tradicional de cifrado, AES-256 a través de una clave pública codificada. Dado que la clave de cifrado es única para cada víctima, Los operadores de Conti proporcionan una herramienta de descifrado, que funciona solo en dispositivos específicos. La herramienta de descifrado de Conti funciona en todos los sistemas encriptados dentro de las redes de la víctima.

Para mayores antecedentes visitar: Conti entre los ransomware con más operaciones vigentes

 

Presencia y operaciones

Los primeros indicios de la presencia y operaciones de esta amenaza datan del año 2020 con la aparición de sus primeras víctimas, las que fueron incluídas paulatinamente en su sitio de leaks activo (hasta el día de hoy) en la darknet.

 

Fuente: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1071/

 

Sus actividades siguen la línea de comprometer grandes organizaciones, sin embargo y dada su última arremetida en conjunto con el troyano “Emotet”, su presencia y teatro de operaciones se han ampliado a casi la totalidad del globo.

 

Campañas recientes detectadas

Del total de campañas detectadas hasta el momento, a continuación, se indican las más relevantes:

  • 2020: Explotación de Zero Logon (CVE-2020-1472) para desplegar ransomware.
  • 2020: Correos electrónicos de phishing que utilizan protestas de BLM.
  • 2020: Correos electrónicos de phishing que ofrecen pruebas gratuitas de COVID-19.
  • 2020 Correos electrónicos de phishing que se hacen pasar por la OMS en la campaña del Coronavirus (COVID-19) dirigida a Italia.
  • 2021: Campaña BazarCall 2021 que mezcla ingeniería social y técnicas de phishing.
  • 2021: Servicio Estatal de Empleo Estatal (SEPE) afectado por el ransomware Ryuk.
  • 2021: Los afiliados del ransomware Conti aprovechan las vulnerabilidades de Microsoft Exchange.
  • 2021: Ataque a Queensland, CS Energy, afectado por el ransomware Conti.
  • 2021: Nordic Choice Hotels afectados por el ransomware Conti.
  • 2021: Atacantes aprovechan la vulnerabilidad de ejecución remota de código en MSHTML (CVE-2021-40444).
  • 2022: El ransomware Conti encripta los sistemas Meyer.
  • 2022: El grupo anuncia su apoyo a Rusia en el marco del conflicto ruso - ucraniano.

 

Conflicto Rusia - Ucrania

Los últimos acontecimientos ocurridos entre estos dos países, que ha involucrado movilización militar y de operaciones al estilo “ciberguerra”, han ido desenmarañando una red de información que poco a poco ha llegado a la luz pública, por cuanto diferentes actores de amenaza han manifestado su apoyo, rechazo o neutralidad referente a la ya mencionada situación del conflicto ruso - ucraniana.

El grupo Conti no se hizo esperar con su pronunciamiento, indicando el día 25 de febrero, publicando en su sitio de leaks en la darknet, un mensaje brindando su apoyo al gobierno ruso e indicando, además, su total disposición de “utilizar todos los recursos necesarios para atacar de vuelta la infraestructura crítica del enemigo”.

 

Fuente: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1160/

 

Posteriormente, el mismo grupo anunciaba que “no era aliado de ningún país” y que sus acciones serían en respuesta a agresiones “contra la infraestructura crítica de Rusia o cualquier región de habla rusa”.

 

Fuente: https://twitter.com/SteveD3/status/1497300738908827664/photo/1

 

Lo anterior, gatilló una serie de reacciones en el mundo de la ciberseguridad, así como otros actores ampliamente conocidos, quienes anunciaron su rechazo a las operaciones militares ofensivas llevadas a cabo por Rusia en suelo ucraniano.

 

Fuente: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1160/

 

Con el pasar de las horas, el mundo esperaba una posible contienda entre el grupo Conti y Anonymous, cada uno por su lado llevando a cabo operaciones para desmantelar o exponer al otro, lo que finalmente hasta ahora, no se ha observado.

Sin embargo, lo anterior, durante el día 27 de 2022, era anunciado por diferentes medios, la filtración de datos relacionados al grupo Conti, conteniendo información de operaciones, chats y otros datos interesantes que, en este momento, son objeto de investigación.

 

Fuente: https://twitter.com/vxunderground/status/1498060366445613056/photo/1

 

El leak de datos 

Los leaks relacionados a Conti se han publicado desde cuentas anónimas e incluyen múltiples enlaces referentes al conocido portal de filtraciones “anonfiles[.]com” desde donde descargar los documentos, el cual es utilizado ampliamente en el mundo cyber para este propósito.

 

Fuente: https://twitter.com/ContiLeaks

 

Fuente: https://twitter.com/ContiLeaks

 

De acuerdo con la información obtenida, estas filtraciones podrían haber sido realizadas por afiliados de Conti de nacionalidad ucraniana que han reaccionado en desacuerdo ante las declaraciones a favor de Rusia emitidas por parte de Conti y que han sido descritas anteriormente.

Entre los datos filtrados que han causado mayor revuelo, se encuentran los logs de chats Jabber utilizados por los ciberactores para la comunicación interna que a grandes rasgos incluyen diferentes enlaces a recursos externos y cuentas de bitcoin que han permitido analizar en parte los ingresos obtenidos por sus operaciones, que hasta el momento se tiene registro de haber transado miles de Bitcoins valuado en Millones de dólares.

 

Fuente: https://twitter.com/vxunderground

 

Es importante mencionar que esta información se encuentra registrada en idioma ruso, por lo que aún no han sido traducidas en su totalidad y se ha observado a actores solicitando apoyo a la comunidad para esta labor.

 

 

En esta misma línea, a medida que se realice el trabajo de traducción, será posible realizar un análisis en mayor profundidad por investigadores de occidente.

 

Fuente: https://twitter.com/Doemela_X/status/1498031973142564864

 

Por otra parte, se han observado capturas de pantalla que podrían corresponder al panel de administración de la agrupación, sin embargo, no es posible corroborar esta información.

 

 

Panorama

Las repercusiones debido a los acontecimientos relacionados al conflicto entre Rusia y Ucrania se han hecho notar en diferentes sectores, desde aquellos de índole comercial hasta los relacionados en el área de ciberseguridad.

En este escenario, las campañas de Conti no están lejos de conflictos con sus afiliados, teniendo en cuenta que, durante agosto de 2021, ya habría sufrido un leak de datos, relacionando la liberación de un “libro de instrucciones” para llevar a cabo sus operaciones. 

No es extraño que en un futuro próximo existan nuevas publicaciones de datos de este tipo, asociadas a otros partners, insatisfechos por el servicio o por desacuerdos internos en el grupo.

En base a las campañas evidenciadas es importante destacar que Chile no se ha visto involucrado entre los países afectados, sin embargo, continúa presentándose como una amenaza latente para la región, debido a la gran cantidad de víctimas mensualmente y su continuo desarrollo sin aparentes intenciones de detenerse.

Para lo anterior, es también importante considerar que el modo de operación de este grupo en particular considera la distribución de sus artefactos por medio de la conocida “Bazar Backdoor” botnet, la que mantiene presencia en casi todo el planeta, siendo parte de grandes infraestructuras de ataque y control de recursos que ayudan a los actores maliciosos a distribuir sus campañas con mayor escalabilidad y control.

Concluir que con los datos analizados respecto a esta situación “especial”, donde se observa la exposición de información de un grupo que ha operado con gran porcentaje de éxito, existe una alta probabilidad de que este grupo “migre” a una versión mucho más poderosa, teniendo como base lo que habría ocurrido en campañas llevadas a cabo por TA551, grupo que ha utilizado vectores de ataque que han sido revelados también en el leak de datos de Conti.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Conti #Ransomware #Leak #Guerra #Rusia #Ucrania #Zero Logon #Queensland #CS Energy #Anonymous #Panorama


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.