Conti (ransomware)

Grupo de ransomware que ataca principalmente productos de Microsoft
Conti
FormaciónDiciembre de 2019
TipoMalware, ransomware como servicio (RaaS)

Conti es un malware desarrollado y utilizado por primera vez por el grupo de hackers con sede en Rusia " Wizard Spider " en diciembre de 2019. [1] [2] Desde entonces, se ha convertido en una operación de ransomware como servicio (RaaS) en toda regla utilizada por numerosos grupos de actores de amenazas para realizar ataques de ransomware .

El malware Conti, una vez implementado en el dispositivo de una víctima, no solo encripta los datos del dispositivo, sino que también se propaga a otros dispositivos de la red, oculta su presencia y proporciona a un atacante remoto control sobre sus acciones en el objetivo. [1] Se sabe que todas las versiones de Microsoft Windows están afectadas. [3] El gobierno de los Estados Unidos ofreció una recompensa de hasta 10 millones de dólares por información sobre el grupo a principios de mayo de 2022. [4]

Descripción

Modelo RaaS

Según un manual filtrado, los miembros principales del equipo de una operación de Conti administran el malware , mientras que los afiliados reclutados se encargan de explotar las redes de las víctimas y cifrar sus dispositivos. [5] [6]

El modelo de ransomware como servicio de Conti varía en su estructura con respecto a un modelo de afiliados típico. A diferencia de otros modelos de RaaS, los grupos que utilizan el modelo de Conti probablemente pagan a los implementadores del malware en salarios en lugar de un porcentaje del rescate (una vez pagado). [7] También se sabe que los operadores de Conti utilizan la doble extorsión como un medio para presionar a las víctimas para que paguen, incluida la publicación de los datos robados de la víctima. En los casos en que una organización víctima se niega a pagar, han vendido el acceso a la organización a otros actores de amenazas. [8]

Tácticas y técnicas

El ransomware Conti emplea varias técnicas de sigilo, incluido el uso de BazarLoader, para infiltrarse en los sistemas de destino. El ransomware está diseñado para cifrar archivos y hacerlos inaccesibles hasta que se pague un rescate. A menudo se distribuye a través de correos electrónicos de phishing , kits de explotación o sitios web comprometidos. [1] Conti ha ganado notoriedad por apuntar a instituciones de atención médica, como se vio en sus ataques a organizaciones en Irlanda y Nueva Zelanda . [9]

También se sabe que el grupo Conti vende acceso a organizaciones de víctimas que se niegan a pagar el rescate . Esta práctica no solo agrega otra capa de presión a las víctimas, sino que también proporciona una fuente adicional de ingresos para la banda de ransomware. Estas tácticas, combinadas con las sofisticadas técnicas del grupo, han convertido a Conti en uno de los grupos de ransomware más prolíficos y capaces que operan en 2021. [9]

El software utiliza su propia implementación de AES-256 que utiliza hasta 32 subprocesos lógicos individuales, lo que lo hace mucho más rápido que la mayoría de ransomware. [3] El método de entrega no está claro. [3]

La banda detrás de Conti ha operado un sitio desde el cual puede filtrar documentos copiados por el ransomware desde 2020. [10] La misma banda ha operado el ransomware Ryuk . [10] El grupo es conocido como Wizard Spider y tiene su sede en San Petersburgo , Rusia . [11]

Una vez en un sistema, intentará eliminar Volume Shadow Copies . [3] Intentará finalizar una serie de servicios mediante el Administrador de reinicio para asegurarse de que puede cifrar los archivos utilizados por ellos. [3] Deshabilitará el monitor en tiempo real y desinstalará la aplicación Windows Defender. El comportamiento predeterminado es cifrar todos los archivos en las unidades de Server Message Block locales y en red , ignorando los archivos con extensiones DLL , .exe , .sys y .lnk . [3] También puede apuntar a unidades específicas, así como a direcciones IP individuales. [3] [12]

Según NHS Digital, la única forma garantizada de recuperación es restaurar todos los archivos afectados desde su copia de seguridad más reciente. [3]

Membresía y estructura

El miembro más antiguo es conocido por los alias Stern o Demon y actúa como director ejecutivo . [13] Otro miembro conocido como Mango actúa como gerente general y se comunica frecuentemente con Stern. [13] Mango le dijo a Stern en un mensaje que había 62 personas en el equipo principal. [13] Los números involucrados fluctúan, llegando hasta 100. [13] Debido a la rotación constante de miembros, el grupo recluta constantemente de sitios legítimos de reclutamiento laboral y sitios de piratas informáticos. [13]

Los programadores comunes ganan entre 1500 y 2000 dólares al mes, y los miembros que negocian pagos de rescate pueden quedarse con una parte de las ganancias. [13] En abril de 2021, un miembro afirmó tener un periodista anónimo que se quedaba con una parte del 5% de los pagos de ransomware presionando a las víctimas para que pagaran. [13]

En mayo de 2022, el gobierno de Estados Unidos ofreció una recompensa de hasta 15 millones de dólares por información sobre el grupo: 10 millones por la identidad o ubicación de sus líderes, y 5 millones por información que conduzca al arresto de cualquiera que conspire con él. [14]

Industrias y países afectados

Se han detectado ataques del ransomware Conti en todo el mundo, y Estados Unidos registró el mayor número de intentos de ataque entre el 1 de enero y el 12 de noviembre de 2021, superando el millón de intentos. Los Países Bajos y Taiwán ocuparon el segundo y tercer lugar, respectivamente. [9]

El sector minorista ha sido el principal objetivo de los ataques de Conti, seguido de los sectores de seguros, manufactura y telecomunicaciones. El sector de la salud, que fue blanco de ataques de alto perfil del grupo Conti, ocupa el sexto lugar en la lista de sectores afectados. [9]

Historia

Origen

A menudo se considera a Conti como el sucesor del ransomware Ryuk. [9]

Fugas

Durante la invasión rusa de Ucrania en 2022 , el Grupo Conti anunció su apoyo a Rusia y amenazó con implementar "medidas de represalia" si se lanzaban ciberataques contra el país. [15] [16] [13] Como resultado, aproximadamente 60.000 mensajes de registros de chat internos fueron filtrados por una persona anónima que indicó su apoyo a Ucrania [17] [18] [19] junto con el código fuente y otros archivos utilizados por el grupo. [20] [13] [21]

Las filtraciones abarcan desde principios de 2020 hasta el 27 de febrero de 2022 y constan de más de 60.000 mensajes de chat. [13] La mayoría de los mensajes filtrados fueron mensajes directos enviados a través de Jabber . [13] Los ataques se coordinaron utilizando Rocket.chat. [13] Las filtraciones están fragmentadas. [13]

Algunos de los mensajes hablan de las acciones de Cozy Bear para hackear a los investigadores sobre COVID-19 . [22] Kimberly Goody, directora de análisis de delitos cibernéticos en Mandiant, dice que las referencias a una fuente externa sin nombre en los registros podrían ser útiles para la banda. [22] Señala la mención en las filtraciones de la Avenida Liteyny en San Petersburgo , hogar de las oficinas locales del FSB , como evidencia de que la fuente externa podría ser el gobierno ruso. [22]

Las opiniones expresadas en las filtraciones incluyen apoyo a Vladimir Putin , Vladimir Zhirinovsky y antisemitismo , incluso hacia Volodymyr Zelenskyy . [23] Un miembro conocido como Patrick repitió varias afirmaciones falsas hechas por Putin sobre Ucrania. [23] Patrick vive en Australia y puede ser ciudadano ruso. [23]

Algunos mensajes muestran una obsesión con Brian Krebs . [23]

Los mensajes utilizan el mat de forma intensiva. [23] También se encontraron mensajes que contenían homofobia , misoginia y referencias al abuso infantil. [23]

Disolución

En las semanas siguientes a la filtración, el grupo se disolvió. [24] Un informe de Recorded Future dijo que no creían que la filtración fuera una causa directa de la disolución, sino que había acelerado las tensiones ya existentes dentro del grupo. [24]

Objetivos conocidos

Véase también

Referencias

  1. ^ abc "Conti, Software S0575 | MITRE ATT&CK®". attack.mitre.org . Consultado el 31 de mayo de 2024 .
  2. ^ Equipo, The CrowdStrike Intel (16 de octubre de 2020). "Wizard Spider modifica y amplía el conjunto de herramientas [Actualización de Adversary]". crowdstrike.com . Consultado el 31 de mayo de 2024 .
  3. ^ abcdefgh "Conti Ransomware". NHS Digital . 9 de julio de 2020 . Consultado el 14 de mayo de 2021 .
  4. ^ "Conti ransomware | CISA". www.cisa.gov . 9 de marzo de 2022 . Consultado el 31 de mayo de 2024 .
  5. ^ "Afiliado del ransomware Angry Conti filtra el manual de ataque de la banda". BleepingComputer . Consultado el 31 de mayo de 2024 .
  6. ^ "Traducido: las conclusiones de Talos a partir del manual de estrategias del ransomware Conti recientemente filtrado". Blog de Cisco Talos . 2 de septiembre de 2021 . Consultado el 31 de mayo de 2024 .
  7. ^ "Conti ransomware | CISA". www.cisa.gov . 9 de marzo de 2022 . Consultado el 9 de julio de 2023 .
  8. ^ "Ransomware Spotlight: Conti - Security News" (En el punto de mira del ransomware: Conti - Noticias de seguridad). www.trendmicro.com . Consultado el 31 de mayo de 2024 .
  9. ^ abcde "Ransomware Spotlight: Conti - Security News" (En el punto de mira de Conti: noticias de seguridad). www.trendmicro.com . Consultado el 9 de julio de 2023 .
  10. ^ ab Cimpanu, Catalin (25 de agosto de 2020). "Conti (Ryuk) se suma a las filas de las bandas de ransomware que operan sitios de filtración de datos". ZDNet . Consultado el 15 de mayo de 2021 .
  11. ^ abcd Corfield, Gareth (14 de mayo de 2021). "Los hospitales cancelan citas para pacientes ambulatorios debido a que el servicio de salud irlandés es atacado por ransomware". The Register . Consultado el 15 de mayo de 2021 .
  12. ^ Cimpanu, Catalin (9 de julio de 2020). «El ransomware Conti utiliza 32 subprocesos simultáneos de CPU para un cifrado ultrarrápido». ZDNet . Consultado el 14 de mayo de 2021 .
  13. ^ abcdefghijklm Burgess, Matt (16 de marzo de 2022). "La vida cotidiana de la banda de ransomware más peligrosa del mundo". Wired UK . Consultado el 21 de marzo de 2022 .
  14. ^ Beech, Eric (7 de mayo de 2022). "Estados Unidos ofrece una recompensa de 15 millones de dólares por información sobre el grupo de ransomware Conti". Reuters.
  15. ^ Reichert, Corinne (25 de febrero de 2022). "El grupo de ransomware Conti advierte que habrá represalias si Occidente lanza un ciberataque contra Rusia". CNET . Consultado el 2 de marzo de 2022 .
  16. ^ Bing, Christopher (25 de febrero de 2022). "El grupo de ransomware Conti, con sede en Rusia, emite una advertencia a los enemigos del Kremlin". Reuters . Consultado el 2 de marzo de 2022 .
  17. ^ Corfield, Gareth (28 de febrero de 2022). «Se filtraron 60.000 mensajes de la banda de ransomware Conti». The Register . Consultado el 2 de marzo de 2022 .
  18. ^ Humphries, Matthew (28 de febrero de 2022). "Apoyar a Rusia fracasa cuando se filtran los chats internos de la banda de ransomware Conti". PCMag . Consultado el 2 de marzo de 2022 .
  19. ^ Faife, Corin (28 de febrero de 2022). «Un grupo de ransomware pagó el precio por respaldar a Rusia». The Verge . Consultado el 2 de marzo de 2022 .
  20. ^ "Se filtra el ransomware Conti". Malwarebytes . 1 de marzo de 2022 . Consultado el 2 de marzo de 2022 .
  21. ^ 'Puedo pelear con un teclado': cómo un especialista en TI ucraniano expuso una notoria banda rusa de ransomware CNN. 2022.
  22. ^ abc Burgess, Matt (18 de marzo de 2022). "Documentos filtrados sobre ransomware muestran que Conti ayuda a Putin desde las sombras". Wired UK . Consultado el 21 de marzo de 2022 .
  23. ^ abcdef Lee, Micah (14 de marzo de 2022). "Chats filtrados muestran que una banda rusa de ransomware habla sobre la invasión de Ucrania por parte de Putin". The Intercept . Consultado el 21 de marzo de 2022 .
  24. ^ ab Hardcastle, Jessica Lyons (24 de febrero de 2023). «La invasión de Ucrania hizo estallar las alianzas de ciberdelincuencia rusas». The Register . Consultado el 25 de febrero de 2023 .
  25. ^ "Hospitales de Waikato afectados por incidente de ciberseguridad". Radio Nueva Zelanda . 18 de mayo de 2021 . Consultado el 18 de mayo de 2021 .
  26. ^ "Los servicios de Shutterfly se vieron interrumpidos por el ataque del ransomware Conti". Bleeping Computer . 27 de diciembre de 2021 . Consultado el 27 de diciembre de 2021 .
  27. ^ "El gigante de KP Snacks se ve afectado por el ransomware Conti". Bleeping Computer . 22 de enero de 2022 . Consultado el 22 de enero de 2022 .
  28. ^ Stupp, Catherine (12 de enero de 2022). "Dentro de un ataque de ransomware en Nordic Choice Hotels". Wall Street Journal . ISSN  0099-9660 . Consultado el 15 de julio de 2022 .
Obtenido de "https://es.wikipedia.org/w/index.php?title=Conti_(ransomware)&oldid=1236612313"