Conti y Stormous Ransomware: amenazas que evolucionan

12 Mayo 2022
Alto

 

2021 fue el año donde se registró el mayor número de operaciones conjuntas y combinadas contra actores de amenazas y portales de mercado negro. Este hecho ha generado un ambiente disuasivo que llegó para instaurar un escenario esperanzador, definiendo que los cibercriminales ya no tienen libre albedrío y son objetivo de instituciones gubernamentales que están actuando de forma organizada para sofocar la vertiginosa alza del cibercrimen.

Si bien nuestra apreciación para 2022 marcaba un respiro para las organizaciones, lamentablemente hemos evidenciado que los grupos de actores de ransomware continúan apareciendo, vinculados con otros grupos de actores que se encuentran bajo la mira de organizaciones internacionales de seguridad.

Como se había abordado en el boletín “Ransomware: nuevas amenazas y el regreso de REvil”, durante las últimas semanas, han sido evidenciadas nuevas variantes de ransomware que han habilitado portales de leaks en la dark web, amenazando a los usuarios no solo con el cifrado de datos y la exposición de éstos, sino que también, con la destrucción y la nula posibilidad de recuperarlos.

Además de las operaciones atribuídas a “Black Basta” y su posible conexión con el grupo operador de Conti, entran en escena nuevos grupos que podrían ser igualmente un brazo más de esta organización, cuyo alcance puede observarse a plenitud en LATAM.

Por otra parte, se ha observado que estos grupos con mayor sofisticación a menudo  anuncian recesos y pausas en sus actividades, que aprovechan para reorganizarse e incluir nuevas características operacionales, como por ejemplo el caso de Stormous Ransomware.

Esta conducta pone en alerta a la comunidad de ciberseguridad, dado que la reestructuración de un grupo de cibercriminales, normalmente trae consigo una oleada de ataques con artefactos “potenciados” y en algunos casos, notables mejoras, que finalmente les hacen indetectables a la hora de consolidar un objetivo. 

 

 

Recompensa por información de integrantes de Conti

Posterior a los ataques en donde se comprometió a Costa Rica, el Gobierno de Estados Unidos anunció este viernes 06 de mayo, que ofrece una recompensa de hasta 10 millones de dólares para quien ofrezca información que permita identificar o ubicar a los integrantes del grupo, responsable de ejecutar un cibertaque a instituciones públicas de pertenecientes al país Centroamericano.

 

Recompensa por información de operadores de Conti

 

Lo anterior, posterior a que el recién asumido presidente de Costa Rica, declarara estado de emergencia debido a este “devastador ataque de ransomware lanzado por el grupo de ciberdelincuentes ruso Conti”.

 

Entidades públicas de Costa Rica en sitio leaks Conti

 

De igual forma, investigadores que han seguido de cerca la actividad de este grupo, indican que algunas variantes nuevas que incluyen su propio portal de leaks en la Dark Web, podrían ser otros “brazos” de una gran operación lanzada por Conti.

 

Stormous pone pausa a sus operaciones

Stormous, que puede haber comenzado a operar a mediados de 2021, ha publicado una declaración de misión que indica que su objetivo es atacar objetivos en los EE. UU. y otras naciones occidentales. Este objetivo cambió en 2022, agregando Ucrania e India a su lista de objetivos. 

La forma en que hablan de los países como sus objetivos en lugar de empresas o industrias específicas sugiere que la política influye más en estos cambios en los objetivos que las ganancias financieras.

 

Declaración Stormous

 

Sus últimas operaciones incluyeron ataques a grandes organizaciones, en donde se observó el compromiso y la posterior publicación de datos.

 

Víctimas publicadas por Stormous

 

Posterior a estas publicaciones, el grupo suspendió el acceso al sitio de leaks, el que al momento de redacción de este boletín, no se encuentra disponible.

Unas semanas más tarde, el grupo anunció en su grupo de Telegram, que suspendería algunas operaciones de robo de datos y de otros ataques lanzados, con el fin de “mejorar” sus operaciones y aspectos relacionados al ransomware como tal, para posteriormente volver a entrar en escena.

 

Mensaje en grupo de Telegram

 

En otra parte del mensaje publicado en Telegram, el grupo pide disculpas por las acciones realizadas y los ataques llevados a cabo, indicando que felicitan a aquellas organizaciones que pagaron el rescate y que procederán con el borrado de los datos “antiguos” publicados en sus redes.

 

Innegablemente, las operaciones de grupos de Ransomware han evolucionado hacia la mejora de sus capacidades, lo que se traduce en el despliegue de nuevas formas de “presionar” a que las víctimas accedan al pago de rescates.

El rebranding de los artefactos utlizados en el despliegue de ataques, sumado al grado de organización de estos actores maliciosos, ponen  de manifiesto que cada una de las actividades llevadas a cabo, ha sido cuidadosamente ideada, considerando posibles escenarios desfavorables para las intenciones de sus operadores.

No es de extrañar que en las próximas semanas se continúe observando ataques con interés político, como se ha podido constatar en el caso de Conti, además del claro indicio que entrega Stormous, al indicar que sus objetivos incluyen países y no organizaciones específicas.

 

En base a lo descrito anteriormente , se ha visualizado un considerable aumento de presencia de ransomware en LATAM afectando diversos sectores productivos de relevancia táctica y estratégica, como entidades de gobiernos e infraestructura crítica, lo que demuestra el interés de los ciberactores en explotar un sector específico que en muchas ocasiones, no se encuentra preparado tecnológicamente para contener de manera adecuada este tipo de amenazas.

Lo anterior se agrava debido a la falta de concienciación empresarial y los altos costos asociados para desplegar o contratar tecnología que permita asegurar el perímetro, pero que independiente de esto, requiere de accesos a internet para brindar continuidad a sus procesos de negocio y operaciones, por lo tanto, poseen recursos para desplegarse en internet, pero no para resguardarse de amenazas.

Por esto, la tendencia observada en el comportamiento de los operadores de ransomware presentes en LATAM, seguirá al alza e indudablemente, Chile se posiciona como uno sus objetivos, debido a que grandes corporaciones entran en el territorio a consolidar negocios y franquicias, que como se mencionaba anteriormente, muchas de estas poseen bajos niveles de protección y concientización en cuanto a ciberseguridad.

Posterior a las operaciones contra gobiernos llevadas a cabo por Conti, es claro que la motivación ha traspasado el simple beneficio económico, por cuanto se puede deducir que aquellos llamados “países aliados del oeste”, entren en la lista de objetivos de estos actores maliciosos “pro Rusia”.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
  • Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
  • Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
  • Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
  • Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
  • Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
  • Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
    • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
    • Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
    • Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
    • Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
    • Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
    • Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
    • Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
    • Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
    • Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
    • Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
    • Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
    • Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
    • El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
    • Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
    • Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
  • Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
  • Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.

Tags: #Ransomware #Stormous #Conti #Malware #Rebrand


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.