¿Qué es el Ransomware Conti?
Conti es un ransomware extremadamente dañino debido a la velocidad con la que cifra los datos y se propaga a otros sistemas. Se observó por primera vez en 2020 y se cree que está dirigido por un grupo de ciberdelincuencia con sede en Rusia que se conoce con el seudónimo de Wizard Spider. A principios de mayo de 2022, el gobierno de EE.UU. anunció una recompensa de hasta 10 millones de dólares por información sobre la banda de ransomware Conti.
Cómo funciona el ransomware Conti
El grupo está utilizando ataques de phishing para instalar los troyanos TrickBot y BazarLoader para obtener acceso remoto a las máquinas infectadas.
El correo electrónico afirma provenir de un remitente en el que la víctima confía y usa un enlace para dirigir al usuario a un documento cargado de forma malintencionada. El documento en Google Drive tiene una carga maliciosa y, una vez que se descarga el documento, también se descargará un malware de puerta trasera Bazaar que conecta el dispositivo de la víctima al servidor de comando y control de Conti.
Es interesante notar que Conti utiliza un método de subprocesos múltiples para propagarse rápidamente, lo que dificulta detenerlo.
El ransomware Conti también puede propagarse a través del bloque de mensajes del servidor (SMB). En realidad, así es como pueden cifrar datos en otras máquinas en una red.
Ahora que existe en la máquina comprometida, Conti encripta los datos y luego emplea un esquema de extorsión de dos pasos.
El ransomware de doble extorsión, también conocido como pay-now-or-get-breached, se refiere a una estrategia de ransomware en crecimiento y la forma en que funciona es que los atacantes extraen inicialmente grandes cantidades de información privada y luego cifran los archivos de la víctima. Una vez que se complete el proceso de encriptación, los atacantes amenazarán con hacer que los datos estén disponibles públicamente a menos que les paguen.
El esquema comienza con una demanda de rescate a cambio de la clave de descifrado y sigue con un mecanismo de extorsión.
En esta etapa, el actor malintencionado revelará una pequeña cantidad de los datos cifrados, con la amenaza de liberar material adicional si no se paga el rescate.
Fuga de datos del ransomware Conti
Tras la invasión de Ucrania, un miembro del grupo de ransomware Conti, que se creía que era de origen ucraniano, reveló la correspondencia interna de la banda después de que los líderes de la organización escribieran una declaración prorrusa en su sitio web oficial.
Un investigador ucraniano conocido como "ContiLeaks" reveló 393 archivos JSON que contenían más de 60 000 chats internos robados del servidor de chat XMPP privado y encriptado de la pandilla de ransomware Conti y Ryuk.
Las conversaciones proporcionaron una cantidad invaluable de información sobre la organización del delito cibernético, incluidas las direcciones de bitcoin, cómo se organiza la organización como empresa, cómo evadir a las fuerzas del orden, cómo realizan sus ataques y mucho más.
ContiLeaks procedió a publicar más información después de eso, incluido el código fuente del panel administrativo de la pandilla, la API de BazarBackdoor, fotos de servidores de almacenamiento y otras cosas.
También se filtró un ZIP protegido con contraseña que contenía el código fuente del cifrador, descifrador y constructor del ransomware Conti, que se podía descargar de forma gratuita.
¿Qué puede hacer para proteger sus dispositivos contra Conti y el resto de los ransomwares?
Aquí hay una lista rápida para comenzar.
- Es fundamental parchear sus sistemas operativos, software y firmware tan pronto como los fabricantes ofrezcan actualizaciones.
- Actualice las contraseñas periódicamente.
- Evite usar la misma contraseña para varias cuentas y use la autenticación multifactor
- Desactive cualquier puerto que no esté en uso
- Eduque a sus empleados para evitar correos electrónicos cuestionables.
- Implementar soluciones de ciberseguridad para cubrir tantos vectores de ataque como sea posible
Para conocer más sobre una de las soluciones de cyberseguridad mas robustas y completas del mercado, puede visitarnos en thorlatam.com
Puede leer el artículo original en este enlace.