Ransomware Conti

¿Qué es el ransomware Conti?

El ransomware Conti es una de las cepas de malware más prolíficas en el panorama mundial de las ciberamenazas. Conti ha costado a las organizaciones más de 150 millones de dólares en concepto de rescate desde 2020 y ha afectado a más de 1.000 empresas en todo el mundo.

Conti es un malware de segunda fase atribuido al grupo Wizard Spider. Se cree que es el sucesor del prolífico ransomware Ryuk. Mientras que el malware de primera fase tiene como objetivo obtener el acceso inicial, el de segunda fase establece el comando y control (C2) en el sistema de la víctima, recopilando información sobre la red y logrando objetivos estratégicos primarios como robar y cifrar datos valiosos.

Los atacantes que despliegan el ransomware Conti suelen emplear una doble táctica de extorsión, lo que significa que las víctimas se ven obligadas a pagar el rescate dos veces: una para recuperar el acceso a sus archivos cifrados y otra para evitar que los datos robados se hagan públicos.

Conti también utiliza un modelo de ataque de ransomware como servicio (RaaS). RaaS permite a un afiliado cobrar por desplegar con éxito malware de primera fase en la infraestructura de una organización, lo que da al actor principal de la amenaza acceso inmediato a la red objetivo para la explotación y coerción de segunda fase.

Conti
  • Exfiltra y cifra los datos de la víctima, lo que permite una doble táctica de extorsión.
  • A menudo desplegado en ataques de modelo Ransomware-as-a-service (RaaS)
  • Utiliza multiproceso para difundir y cifrar archivos rápidamente

Conti puede distribuirse mediante ataques de phishing, spear-phishing o vishing, credenciales de escritorio remoto (RDP) robadas o aplicaciones troyanizadas para obtener el acceso remoto inicial. Aunque Conti se dirige principalmente a sistemas de plataforma Windows, los exámenes más recientes de los kits de herramientas de malware Conti también han descubierto exploits de Linux. 

Tras el acceso inicial, el malware se conecta al servidor de mando y control (C2) de Conti y descarga el cliente C2 de segunda etapa de Conti y herramientas de cifrado de archivos. El malware C2 de segunda etapa de Conti emplea una larga lista de herramientas de software de pruebas de penetración como Cobalt Strike beacon, PowerSploit y AdFind para ejecutarse de forma remota y propagarse por una red para comprometer objetivos de alto valor. Conti también puede propagarse dentro de una red a través de Server Message Block (SMB) y utiliza la explotación de SMB como estrategia para cifrar datos en otros puntos finales dentro del mismo dominio de red.

Al igual que otros ransomware, Conti intenta desactivar los productos de seguridad existentes que detecta y busca proteger el contenido de sus cargas maliciosas escaneando el entorno para determinar si se trata de un entorno sandbox utilizado para el análisis de malware. Una vez que el atacante ha identificado y comprometido objetivos de alto valor, Conti exfiltra datos corporativos valiosos a un servidor controlado por el atacante y luego utiliza el cifrado multihilo para cifrar archivos rápidamente. 

Los ataques de Conti suelen desplegarse en ataques relámpago en los que varias organizaciones se ven comprometidas en un breve periodo de tiempo. En un ataque relámpago reciente, conocido como ARMattack (abreviatura de "armada"), Conti pirateó más de 40 empresas en el plazo de un mes. Los ataques relámpago maximizan la utilidad de técnicas de malware novedosas y avanzadas antes de que la comunidad de ciberseguridad tenga tiempo suficiente para desarrollar y compartir medidas defensivas.

Desde el punto de vista del ataque, Conti suele dirigirse a documentos personales, imágenes y vídeos -archivos docx, xlsx, pdf y mp4- y archivos de copia de seguridad. Durante el proceso de cifrado, los archivos se cifran con una clave de cifrado AES-256 y, a continuación, con una clave de cifrado pública RSA-4096 y se les añade la extensión conti o CONTI. El malware también crea un archivo de texto en cada carpeta que contiene el mensaje del rescate e instrucciones sobre cómo ponerse en contacto con los atacantes y enviar el pago.

Cómo protegerse contra el ransomware Conti

Las tácticas defensivas que previenen eficazmente un ataque de ransomware Conti con éxito son similares a las tácticas utilizadas para prevenir otros programas maliciosos, tales como:

  • Utilizar la formación para concienciar a los usuarios a fin de reducir los incidentes de seguridad provocados por ataques basados en phishing.
  • Desarrollo de una arquitectura de autenticación reforzada y seguridad para impedir que los programas maliciosos puedan acceder a recursos sensibles.
  • Instalación de productos avanzados de detección y respuesta de puntos finales para permitir la identificación y corrección oportunas de los sistemas en caso de infracción.
CylanceOPTICS® proporciona detección y corrección de amenazas en el dispositivo utilizando inteligencia artificial (IA) para prevenir incidentes de seguridad con análisis de causa raíz, búsqueda inteligente de amenazas y capacidades automatizadas de detección y respuesta. Nuestro enfoque Endpoint Detection and Response (EDR) elimina eficazmente la latencia de respuesta. Puede ser la diferencia entre un incidente de seguridad menor y un evento generalizado y descontrolado.