El Ransomware Conti Ataca a Norteamérica y Europa en Ataques de Doble Extorsión
Tabla de contenidos:
A pesar de ser una amenaza relativamente nueva en el ámbito de la ciberseguridad, el ransomware Conti ya se ha convertido en un gran peligro para las organizaciones de todo el mundo. Desde su aparición en mayo de 2020, los investigadores de seguridad han reportado al menos 150 ataques exitosos contra los sectores de retail, manufactura, construcción y otras industrias en América del Norte y Europa Occidental. Notablemente, los operadores de Conti aplican un esquema de doble extorsión contra sus víctimas, exigiendo un rescate por el descifrado y filtrando los datos robados si no se paga.
¿Qué es el Ransomware Conti?
Según el último análisis de Cyberseason, Conti es un malware muy ofensivo, capaz de auto-replicarse, cifrar rápidamente, evadir exitosamente y moverse lateralmente. Actualmente, se promociona activamente de acuerdo con el modelo Ransomware-as-a-Service (RaaS) en varios foros de la darknet. Además, la pandilla Conti ha establecido asociaciones exclusivas con los mantenedores de TrickBot que reemplazaron al ransomware Ryuk a favor de Conti durante el verano de 2020. La fuerte promoción por parte del grupo TrickBot, el rápido ciclo de actualizaciones, los ejemplos de código compartidos y las características mejoradas hacen que el ransomware Conti sea un sucesor completo de Ryuk en cuanto a sus capacidades maliciosas.
La pandilla Conti ha lanzado tres versiones del ransomware desde mayo de 2020, haciendo que cada lanzamiento subsecuente sea aún más notorio. La última versión recibió:
- Mejores características de propagación que aprovechan SMB para bloquear múltiples hosts dentro de la red comprometida;
- Mejor rutina de cifrado, que se basa en la técnica de multithreading para lograr el bloqueo rápido de archivos con 32 hilos de cifrado simultáneos;
- Tácticas de evasión mejoradas, que habilitan anti-análisis al ocultar llamadas a la API de Windows y aprovechando un depurador de Python dedicado.
Los investigadores de seguridad de ClearSky revelan que los operadores del ransomware Conti podrían estar vinculados al colectivo de hackers afiliado a Rusia conocido como Wizard Spider. Anteriormente, este grupo de amenazas fue identificado por mantener el notorio ransomware Ryuk, y el análisis del ataque contra una empresa canadiense no nombrada apunta a que los mismos actores están detrás de las intrusiones de Conti.
Ataques de Ransomware Conti
Según los expertos en seguridad, Conti se despliega principalmente con la ayuda de la infraestructura maliciosa de TrickBot. La rutina de infección sigue el mismo patrón en la mayoría de los casos. Las víctimas reciben un correo electrónico de phishing con enlaces maliciosos insertados en su cuerpo. En caso de hacer clic, las URLs redirigen a los usuarios al Google Drive que contiene los ejecutables del troyano Bazar. Una vez instalado, Bazar deja caer el ransomware Conti en la red comprometida.
Hasta la fecha, la pandilla Conti ha logrado atacar con éxito a más de 150 empresas en todo el mundo, la mayoría de las cuales se encuentran en América del Norte. El número de víctimas está en constante crecimiento, lo que se refleja en un sitio web dedicado a Conti lanzado por los mantenedores del ransomware. Los adversarios utilizan esta página web en esquemas de doble extorsión para filtrar pedazos de información robada y presionar a sus víctimas para que paguen el rescate. Por ejemplo, en diciembre de 2020, los desarrolladores de Conti colocaron dos archivos ZIP que supuestamente contienen 3 GB de datos extraídos de el fabricante de IoT Advantech. Ese mismo mes, los hackers filtraron datos desde la Agencia de Protección Ambiental de Escocia (SEPA) a su página web. Los ataques más recientes del notorio grupo de ransomware afectaron a varias instituciones de salud en EE.UU., incluyendo a los Centros Médicos de Leon y al Hospital General de Nocona. La pandilla Conti filtró cientos de registros de pacientes en un intento de extorsión.
Detección de Conti
Uno de los desarrolladores más activos de Threat Bounty de SOC Prime, Osman Demir, ha recientemente lanzado una regla Sigma exclusiva dirigida a la detección de ataques de Conti. Para identificar técnicas y procedimientos asociados con la infección del ransomware Conti y prevenir el ataque, puede descargar contenido dedicado de SOC desde el Threat Detection Marketplace a través del siguiente enlace.
https://tdm.socprime.com/tdm/info/VCWrVq5RoBCl/tC-o8ncBR-lx4sDx09VQ/
La regla tiene traducciones a las siguientes plataformas:
SIEM: Azure Sentinel, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, CrowdStrike
MITRE ATT&CK:
Tácticas: Impacto, Escalada de Privilegios, Evasión de Defensa, Descubrimiento
Técnicas: Datos Cifrados para Impacto (T1486), Inyección de Procesos (T1055), Descubrimiento de Sistemas Remotos (T1018)
A menos que no tenga acceso de pago al Threat Detection Marketplace, esta regla Sigma exclusiva puede desbloquearse activando su prueba gratuita bajo una suscripción comunitaria. Además, recomendamos que preste atención a la regla Sigma de la comunidad que también cubre la infección de Conti: https://tdm.socprime.com/tdm/info/agjZV60tJUSw/7sZ6gHMBSh4W_EKGHbAy/#rule-context
Suscríbase al Threat Detection Marketplace, la mayor plataforma de Detection as Code del mundo que agrega más de 100K reglas de Detección y Respuesta fácilmente convertibles a varias plataformas. ¿Desea unirse a la comunidad de defensores cibernéticos de SOC Prime y contribuir a la biblioteca de contenido de SOC líder en la industria? Únase a nuestro Programa de Recompensas de Amenazas ¡por un futuro más seguro!
