Conti Ransomware sigue vigente en el panorama de amenazas

Investigadores de Sophos han encontrado múltiples ataques de ransomware Conti confirmados en los últimos seis meses. Conti ransomware es una amenaza global que afecta a las víctimas principalmente en América del Norte y Europa Occidental.

Ransomware Conti

Ransomware Conti tuvo sus primeras apariciones a mediados de año de 2020. Es conocido por ser una banda que utiliza la doble extorsión como estrategia de ataque, robando y cifrando información de las víctimas para luego extorsionarlas con la publicación de estas si se niegan a pagar su rescate.

A Conti se le ha comparado con otras familias de ransomware, especialmente con Ryuk, pero es la ya mencionada doble extorsión que llevan a cabo lo que lo diferencian.

Según investigadores de seguridad Conti ha experimentado un rápido y exponencial crecimiento y desarrollo en sus técnicas y capacidades de ataques, destacándose por la velocidad en la que encripta e infecta los sistemas de las víctimas. Tan alta es su capacidad de ataque que ya ha robado datos de al menos 180 víctimas, incluidas 128 organizaciones en los EE.UU y 14 en Canadá. El segmento al que se dirige se centra en sectores minoristas, de fabricación, construcción y sector público.

Conti ransomware operado por humanos

En uno de sus ataques más recientes, Conti estuvo atacando a una organización por cuatros días seguidos. Estos ataques son llevados a cabo por personas capaces, debido a su naturaleza humana, de poder reaccionar y adaptarse a las diversas circunstancias que conlleva, en este caso, un ataque y una respuesta por parte de las víctimas como contraataque para resguardar sus activos.

Cuando una banda se inserta dentro de un sistema o servidor trae por consecuencia la activación de los protocolos de seguridad y alerta a los usuarios para que se deshabiliten uno de los accesos iniciales como método para detener el ataque, pero sin saberlo, los atacantes pueden cambiar rápidamente su plan y comenzar a comprometer un segundo acceso y continuar con la infección.

En el caso estudiado por Sophos así sucedió, un punto débil en el firewall Fortinet FortiGate que ejecutaba firmware vulnerable permitió a los ciberactores en solo 15 minutos obtener acceso de administrador a dos servidores simultáneamente.

Acceso inicial

Los posibles métodos de acceso inicial para el ransomware Conti incluyen, entre otros, firewalls vulnerables, servicios RDP (Protocolo de escritorio remoto) expuestos y credenciales de usuario de phishing a través de correos electrónicos no deseados. 

Los atacantes de Conti a menudo usan herramientas como Mimikatz, que pueden capturar información de un proceso Microsoft LSASS.exe en ejecución que contiene hashes de nombres de usuario / contraseñas de los usuarios actualmente conectados. A veces, los atacantes dejan esto funcionando y luego deliberadamente rompen algo en la máquina que han apuntado, lo que provoca que un administrador inicie sesión para solucionarlo. Los atacantes pueden capturar las credenciales de este administrador.

La parte más visible del ataque, la liberación de ransomware, probablemente tiene lugar cuando ningún administrador de TI o profesional de seguridad estaba en línea para advertir y evitar el largo proceso de cifrado de archivos, posiblemente durante la noche o durante el fin de semana.

Al cifrar una computadora, el ransomware colocará una nota de rescate en cada carpeta.

Panorama

Los actores de amenazas involucrados en los ataques que utilizan Conti han creado un conjunto complejo de herramientas diseñadas en forma personalizada, no solo para ofuscar el malware en sí cuando se entrega, sino también, para ocultar las ubicaciones de Internet desde las que los atacantes lo han descargado.

Conti representa un giro único en el ransomware moderno, su implementación de procesamiento de subprocesos múltiples, así como el uso del Administrador de reinicio de Windows, muestra una característica de cifrado de datos increíblemente rápido y completo.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.