El sucesor de Ryuk, Conti Ransomware, lanza un sitio de filtración de datos

Conti ransomware, el sucesor del famoso Ryuk, ha lanzado un sitio de filtración de datos como parte de su estrategia de extorsión para obligar a las víctimas a pagar un rescate. Según Advanced Intel, desde julio de 2020, Ryuk ya no se está implementando y, en su lugar, los operadores vinculados a TrickBot ahora están utilizando el ransomware Conti.

Ransomware Conti

Conti es una variante sofisticada de ransomware que surgió en febrero de 2020. A diferencia de la mayoría de sus pares, el ransomware Conti cifra significativamente los archivos en las máquinas de las víctimas más rápido, ejecutando 32 subprocesos simultáneos y utilizando toda la potencia informática que tienen los sistemas afectados. Como resultado de eso, los dispositivos con CPU multinúcleo obtienen cifrado más rápido. 

Conti tiene la capacidad de cifrar discos duros locales, recursos compartidos de red y otros dispositivos en la red local. Para cifrar los datos, Conti utiliza un método tradicional de cifrado, AES-256 a través de una clave pública codificada. Dado que la clave de cifrado es única para cada víctima, Los operadores de Conti proporcionan una herramienta de descifrado, que funciona solo en dispositivos específicos. La herramienta de descifrado de Conti funciona en todos los sistemas encriptados dentro de las redes de la víctima.

Al cifrar una computadora, el ransomware agregará la extensión “.CONTI” a los archivos cifrados y colocará una nota de rescate llamada CONTI_README.txt en cada carpeta.

Antes del inicio del cifrado, Conti aprovecha el Administrador de reinicio de Windows para deshabilitar la seguridad, las copias de seguridad y otras aplicaciones que pueden mantener los archivos bloqueados en el sistema impactado. Luego elimina las instantáneas de volumen para que sea imposible usar el volumen integrado de Windows.

Conti es un Ransomware-as-a-Service (RaaS) privado relativamente nuevo. Sin embargo, los informes afirman que Conti "está siendo operado por el mismo grupo que realizó ataques de ransomware Ryuk en el pasado".

Ransomware Ryuk 

En el primer trimestre de 2020, el número de ataques del ransomware Ryuk disminuyó significativamente mientras que el número de nuevos ataques de Conti comenzaron a aumentar, lo cual es un indicador de una conexión entre ambas variantes. En algún momento, los actores de amenazas que usaban Ryuk se dividieron, cambiaron de marca o decidieron hacer la transición al nombre "Conti", que parece estar basado en el código de la versión 2 de Ryuk. Además de las similitudes en el código de malware, se ha visto una nota de rescate de Conti más descriptiva que usa exactamente la misma plantilla utilizada por Ryuk en ataques anteriores.

"Sobre la base de múltiples cuestiones de respuesta a incidentes y la evaluación actual, se cree que Conti ransomware está vinculado al mismo grupo de desarrolladores de ransomware Ryuk en función de la reutilización de código y la distribución única de TrickBot. El mismo vector de ataque de distribución es utilizado ampliamente por el grupo de implementación de Ryuk, ", informó BleepingComputer.

Conti lanza un sitio de fuga de datos

Cuando las operaciones de ransomware operadas por humanos atacan una red corporativa, comúnmente roban datos no cifrados antes de cifrar los archivos.

Ahora se ha convertido en una táctica principal para los grandes grupos de ransomware crear los llamados " sitios de filtración " donde cargan y filtran documentos confidenciales de empresas que se niegan a pagar la tarifa de descifrado de ransomware.

Estos "sitios de filtración" son parte de una nueva tendencia que se está formando en la clandestinidad de los ciberdelincuentes, donde los grupos de ransomware están adoptando la táctica llamada " doble extorsión ".

Conti ransomware ha estado activo desde este verano, pero no fue hasta hace poco que lanzó su propio sitio de filtración de datos 'Conti.News'. Este sitio de filtración de datos pública sus víctimas, y algunos de los nombres son empresas grandes y conocidas. Para cada víctima incluida en la lista, se crea una página dedicada que contiene muestras de los datos robados.

En el pasado, los operadores de ransomware solo incluían un mensaje de que la víctima estaba encriptada e incluían dos direcciones de correo electrónico para contactarlos. Las notas de rescate de Conti ahora incluyen un lenguaje específico que indica que publicarán los datos de una víctima si no se paga un rescate.

Hoy en día,  la lista de bandas de ransomware que operan sitios de fugas  incluye a Ako, Avaddon, CLOP, Darkside, DoppelPaymer, Maze, Mespinoza (Pysa), Nefilim, NetWalker, RagnarLocker, REvil (Sodinokibi) y Sekhmet.

El sitio ya enumera 26 empresas que han sido víctimas de los ataques del grupo y se han negado a pagar el rescate, y que por cada empresa que figura en el sitio, el grupo Conti ha filtrado documentos obtenidos de sus redes.

Panorama

Conti representa un giro único en el ransomware moderno, su implementación de procesamiento de subprocesos múltiples, así como el uso del Administrador de reinicio de Windows, muestra una característica de cifrado de datos increíblemente rápido y completo. Conti puede ser un reemplazo para Ryuk, que ha experimentado una caída significativa en la actividad en el último tiempo, lo que hace muy probable que este Ransomware moderno aparezca en colaboración con otros ciberactores como Maze.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Actualizar los equipos con Windows a las últimas versiones.
• Desactive SMBv1, para protegerse contra la vulnerabilidad de Windows EternalBlue, que está siendo utilizado activamente por el troyano bancario TrickBot para propagarse dentro del entorno de las víctimas.
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.