Detuvimos a Conti, el ransomware que ataca a grandes industrias
Hace unos días, en NSIT preparamos un escenario en donde evidenciamos cómo lograba comprometer el equipo físico de una empresa el famoso Ransomware Conti. Es por esta razón que queremos indagar más sobre esta amenaza. En esta entrega, nos dedicaremos a hablar sobre el Ransomware Conti, sus principales características y cómo operan sus afiliados.
Detuvimos a Conti, el ransomware que ataca a grandes industrias
En nuestra entrega anterior, analizamos un robo de información ejecutado por el ransomware Conti. Vimos cómo, por medio de la modalidad phishing, la amenaza lograba entrar a los sistemas de una empresa y encriptaba toda la información relevante de la entidad dejando sin alternativas a los usuarios.
Estas campañas son una de las modalidades principales por la cuales se propaga Conti, la cual, contiene, documentos adjuntos maliciosos (como un archivo Word) o enlaces. Estos adjuntos descargan malware como TrickBot, Bazar backdoor o incluso aplicaciones legítimas como Cobalt Strike que son utilizadas de forma maliciosa para realizar movimiento lateral dentro de la red de la víctima y luego descargar el ransomware.
¿Qué es Conti?
Conti es un malware de la familia de los ransomware que ha tomado mucha fuerza desde el momento en que apareció, entre octubre y diciembre del 2019. A partir de ahí, ha dado mucho de qué hablar por su alta actividad. Uno de los ataques mas recordados es el que afectó a los sistemas de salud público de Irlanda en mayo de 2021 durante la pandemia. Los criminales solicitaron un pago de 20 millones de dólares.
¿Cómo opera el Ransomware Conti?
Esta amenaza opera bajo el nombre de Ransomware as a Service (RaaS, por sus siglas en ingles). Esto significa que los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliados, que son quienes se ocupan de la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates.
Conti suele utilizar la modalidad doble extorsión, también conocida como doxing, que consiste en exfiltrar información confidencial de sus víctimas previo al cifrado para luego extorsionarlas amenazándolas con publicar información exfiltrada a menos que paguen el monto de dinero exigido.
De esta forma aumentan la presión, ya que no solo se trata de recuperar los archivos cifrados, sino también de evitar una posible brecha de información que podría perjudicar a la víctima de diversas maneras; por ejemplo, dañando su reputación.
¿Cómo se propaga Ransomware Conti?
Conti es tan hábil que puede obtener acceso inicial sobre sus víctimas a través de diversas técnicas como:
- Campaña de Phishing, esta técnica es una de las más comunes. Puedes conocer más sobre ella EN VIVO ingresando a este enlace.
- Explotación de vulnerabilidades conocidas sobre equipos que están expuestos a Internet.
- Ataques sobre equipos con el servicio de RDP expuesto a Internet
¿Cómo actúa Conti al comprometer un equipo?
Se identificó que cuando se ejecuta Conti sobre una máquina víctima, el ransomware cifra todos los archivos que existan en el equipo, excepto algunos archivos que cumplan ciertas condiciones.
Mientras se van cifrando los archivos de una carpeta se crea un archivo llamado readme.txt, el cual contiene la nota de rescate con todos los datos necesarios para contactarse con los cibercriminales. Por otro lado, Conti es capaz de buscar equipos en la red que tengan carpetas compartidas en el protocolo SMB para cifrar su contenido.
Asi se ve una Nota de Rescate de Conti
Países que ha atacado el Ransomware Conti: irlanda, Costa Rica, Perú, Argentina, Brasil, Colombia, Nicaragua y República Dominicana.
Consulta con nosotros cómo podemos ayudar a tu empresa a cerrar las brechas de seguridad y más cuando se trata de ransomware. Podemos evaluar tus necesidades actuales y ofrecerte un presupuesto para utilizar nuestros servicios.
Acerca de NSIT SAS: