Conti ransomware, el sucesor del famoso Ryuk, ha lanzado un sitio de filtración de datos como parte de su estrategia de extorsión para obligar a las víctimas a pagar un rescate. Según Advanced Intel, desde julio de 2020, Ryuk ya no se está implementando y, en su lugar, los operadores vinculados a TrickBot ahora están utilizando el ransomware Conti.
Ransomware Conti
Conti es una variante sofisticada de ransomware que surgió en febrero de 2020. A diferencia de la mayoría de sus pares, el ransomware Conti cifra significativamente los archivos en las máquinas de las víctimas más rápido, ejecutando 32 subprocesos simultáneos y utilizando toda la potencia informática que tienen los sistemas afectados. Como resultado de eso, los dispositivos con CPU multinúcleo obtienen cifrado más rápido.
Conti tiene la capacidad de cifrar discos duros locales, recursos compartidos de red y otros dispositivos en la red local. Para cifrar los datos, Conti utiliza un método tradicional de cifrado, AES-256 a través de una clave pública codificada. Dado que la clave de cifrado es única para cada víctima, Los operadores de Conti proporcionan una herramienta de descifrado, que funciona solo en dispositivos específicos. La herramienta de descifrado de Conti funciona en todos los sistemas encriptados dentro de las redes de la víctima.
Al cifrar una computadora, el ransomware agregará la extensión “.CONTI” a los archivos cifrados y colocará una nota de rescate llamada CONTI_README.txt en cada carpeta.
Antes del inicio del cifrado, Conti aprovecha el Administrador de reinicio de Windows para deshabilitar la seguridad, las copias de seguridad y otras aplicaciones que pueden mantener los archivos bloqueados en el sistema impactado. Luego elimina las instantáneas de volumen para que sea imposible usar el volumen integrado de Windows.
Conti es un Ransomware-as-a-Service (RaaS) privado relativamente nuevo. Sin embargo, los informes afirman que Conti "está siendo operado por el mismo grupo que realizó ataques de ransomware Ryuk en el pasado".
Ransomware Ryuk
En el primer trimestre de 2020, el número de ataques del ransomware Ryuk disminuyó significativamente mientras que el número de nuevos ataques de Conti comenzaron a aumentar, lo cual es un indicador de una conexión entre ambas variantes. En algún momento, los actores de amenazas que usaban Ryuk se dividieron, cambiaron de marca o decidieron hacer la transición al nombre "Conti", que parece estar basado en el código de la versión 2 de Ryuk. Además de las similitudes en el código de malware, se ha visto una nota de rescate de Conti más descriptiva que usa exactamente la misma plantilla utilizada por Ryuk en ataques anteriores.
"Sobre la base de múltiples cuestiones de respuesta a incidentes y la evaluación actual, se cree que Conti ransomware está vinculado al mismo grupo de desarrolladores de ransomware Ryuk en función de la reutilización de código y la distribución única de TrickBot. El mismo vector de ataque de distribución es utilizado ampliamente por el grupo de implementación de Ryuk, ", informó BleepingComputer.
Conti lanza un sitio de fuga de datos
Cuando las operaciones de ransomware operadas por humanos atacan una red corporativa, comúnmente roban datos no cifrados antes de cifrar los archivos.
Ahora se ha convertido en una táctica principal para los grandes grupos de ransomware crear los llamados " sitios de filtración " donde cargan y filtran documentos confidenciales de empresas que se niegan a pagar la tarifa de descifrado de ransomware.
Estos "sitios de filtración" son parte de una nueva tendencia que se está formando en la clandestinidad de los ciberdelincuentes, donde los grupos de ransomware están adoptando la táctica llamada " doble extorsión ".
Conti ransomware ha estado activo desde este verano, pero no fue hasta hace poco que lanzó su propio sitio de filtración de datos 'Conti.News'. Este sitio de filtración de datos pública sus víctimas, y algunos de los nombres son empresas grandes y conocidas. Para cada víctima incluida en la lista, se crea una página dedicada que contiene muestras de los datos robados.
En el pasado, los operadores de ransomware solo incluían un mensaje de que la víctima estaba encriptada e incluían dos direcciones de correo electrónico para contactarlos. Las notas de rescate de Conti ahora incluyen un lenguaje específico que indica que publicarán los datos de una víctima si no se paga un rescate.
Hoy en día, la lista de bandas de ransomware que operan sitios de fugas incluye a Ako, Avaddon, CLOP, Darkside, DoppelPaymer, Maze, Mespinoza (Pysa), Nefilim, NetWalker, RagnarLocker, REvil (Sodinokibi) y Sekhmet.
El sitio ya enumera 26 empresas que han sido víctimas de los ataques del grupo y se han negado a pagar el rescate, y que por cada empresa que figura en el sitio, el grupo Conti ha filtrado documentos obtenidos de sus redes.
Panorama
Conti representa un giro único en el ransomware moderno, su implementación de procesamiento de subprocesos múltiples, así como el uso del Administrador de reinicio de Windows, muestra una característica de cifrado de datos increíblemente rápido y completo. Conti puede ser un reemplazo para Ryuk, que ha experimentado una caída significativa en la actividad en el último tiempo, lo que hace muy probable que este Ransomware moderno aparezca en colaboración con otros ciberactores como Maze.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows |
8 8.1 10 |
Microsoft Windows Server |
2012 2012 R2 2016 2019 |
Tipo | Indicador |
---|---|
flapalinta1950@protonmail.com | |
xersami@protonmail.com | |
hash | eae876886f19ba384f55778634a... |