Investigadores de Sophos han encontrado múltiples ataques de ransomware Conti confirmados en los últimos seis meses. Conti ransomware es una amenaza global que afecta a las víctimas principalmente en América del Norte y Europa Occidental.
Ransomware Conti
Ransomware Conti tuvo sus primeras apariciones a mediados de año de 2020. Es conocido por ser una banda que utiliza la doble extorsión como estrategia de ataque, robando y cifrando información de las víctimas para luego extorsionarlas con la publicación de estas si se niegan a pagar su rescate.
A Conti se le ha comparado con otras familias de ransomware, especialmente con Ryuk, pero es la ya mencionada doble extorsión que llevan a cabo lo que lo diferencian.
Según investigadores de seguridad Conti ha experimentado un rápido y exponencial crecimiento y desarrollo en sus técnicas y capacidades de ataques, destacándose por la velocidad en la que encripta e infecta los sistemas de las víctimas. Tan alta es su capacidad de ataque que ya ha robado datos de al menos 180 víctimas, incluidas 128 organizaciones en los EE.UU y 14 en Canadá. El segmento al que se dirige se centra en sectores minoristas, de fabricación, construcción y sector público.
Conti ransomware operado por humanos
En uno de sus ataques más recientes, Conti estuvo atacando a una organización por cuatros días seguidos. Estos ataques son llevados a cabo por personas capaces, debido a su naturaleza humana, de poder reaccionar y adaptarse a las diversas circunstancias que conlleva, en este caso, un ataque y una respuesta por parte de las víctimas como contraataque para resguardar sus activos.
Cuando una banda se inserta dentro de un sistema o servidor trae por consecuencia la activación de los protocolos de seguridad y alerta a los usuarios para que se deshabiliten uno de los accesos iniciales como método para detener el ataque, pero sin saberlo, los atacantes pueden cambiar rápidamente su plan y comenzar a comprometer un segundo acceso y continuar con la infección.
En el caso estudiado por Sophos así sucedió, un punto débil en el firewall Fortinet FortiGate que ejecutaba firmware vulnerable permitió a los ciberactores en solo 15 minutos obtener acceso de administrador a dos servidores simultáneamente.
Acceso inicial
Los posibles métodos de acceso inicial para el ransomware Conti incluyen, entre otros, firewalls vulnerables, servicios RDP (Protocolo de escritorio remoto) expuestos y credenciales de usuario de phishing a través de correos electrónicos no deseados.
Los atacantes de Conti a menudo usan herramientas como Mimikatz, que pueden capturar información de un proceso Microsoft LSASS.exe en ejecución que contiene hashes de nombres de usuario / contraseñas de los usuarios actualmente conectados. A veces, los atacantes dejan esto funcionando y luego deliberadamente rompen algo en la máquina que han apuntado, lo que provoca que un administrador inicie sesión para solucionarlo. Los atacantes pueden capturar las credenciales de este administrador.
La parte más visible del ataque, la liberación de ransomware, probablemente tiene lugar cuando ningún administrador de TI o profesional de seguridad estaba en línea para advertir y evitar el largo proceso de cifrado de archivos, posiblemente durante la noche o durante el fin de semana.
Al cifrar una computadora, el ransomware colocará una nota de rescate en cada carpeta.
Panorama
Los actores de amenazas involucrados en los ataques que utilizan Conti han creado un conjunto complejo de herramientas diseñadas en forma personalizada, no solo para ofuscar el malware en sí cuando se entrega, sino también, para ocultar las ubicaciones de Internet desde las que los atacantes lo han descargado.
Conti representa un giro único en el ransomware moderno, su implementación de procesamiento de subprocesos múltiples, así como el uso del Administrador de reinicio de Windows, muestra una característica de cifrado de datos increíblemente rápido y completo.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows |
8 8.1 10 |
Microsoft Windows Server |
2012 2012 R2 2016 2019 |