Formación | Diciembre de 2019 |
---|---|
Tipo | Malware, ransomware como servicio (RaaS) |
Conti es un malware desarrollado y utilizado por primera vez por el grupo de hackers con sede en Rusia " Wizard Spider " en diciembre de 2019. [1] [2] Desde entonces, se ha convertido en una operación de ransomware como servicio (RaaS) en toda regla utilizada por numerosos grupos de actores de amenazas para realizar ataques de ransomware .
El malware Conti, una vez implementado en el dispositivo de una víctima, no solo encripta los datos del dispositivo, sino que también se propaga a otros dispositivos de la red, oculta su presencia y proporciona a un atacante remoto control sobre sus acciones en el objetivo. [1] Se sabe que todas las versiones de Microsoft Windows están afectadas. [3] El gobierno de los Estados Unidos ofreció una recompensa de hasta 10 millones de dólares por información sobre el grupo a principios de mayo de 2022. [4]
Según un manual filtrado, los miembros principales del equipo de una operación de Conti administran el malware , mientras que los afiliados reclutados se encargan de explotar las redes de las víctimas y cifrar sus dispositivos. [5] [6]
El modelo de ransomware como servicio de Conti varía en su estructura con respecto a un modelo de afiliados típico. A diferencia de otros modelos de RaaS, los grupos que utilizan el modelo de Conti probablemente pagan a los implementadores del malware en salarios en lugar de un porcentaje del rescate (una vez pagado). [7] También se sabe que los operadores de Conti utilizan la doble extorsión como un medio para presionar a las víctimas para que paguen, incluida la publicación de los datos robados de la víctima. En los casos en que una organización víctima se niega a pagar, han vendido el acceso a la organización a otros actores de amenazas. [8]
El ransomware Conti emplea varias técnicas de sigilo, incluido el uso de BazarLoader, para infiltrarse en los sistemas de destino. El ransomware está diseñado para cifrar archivos y hacerlos inaccesibles hasta que se pague un rescate. A menudo se distribuye a través de correos electrónicos de phishing , kits de explotación o sitios web comprometidos. [1] Conti ha ganado notoriedad por apuntar a instituciones de atención médica, como se vio en sus ataques a organizaciones en Irlanda y Nueva Zelanda . [9]
También se sabe que el grupo Conti vende acceso a organizaciones de víctimas que se niegan a pagar el rescate . Esta práctica no solo agrega otra capa de presión a las víctimas, sino que también proporciona una fuente adicional de ingresos para la banda de ransomware. Estas tácticas, combinadas con las sofisticadas técnicas del grupo, han convertido a Conti en uno de los grupos de ransomware más prolíficos y capaces que operan en 2021. [9]
El software utiliza su propia implementación de AES-256 que utiliza hasta 32 subprocesos lógicos individuales, lo que lo hace mucho más rápido que la mayoría de ransomware. [3] El método de entrega no está claro. [3]
La banda detrás de Conti ha operado un sitio desde el cual puede filtrar documentos copiados por el ransomware desde 2020. [10] La misma banda ha operado el ransomware Ryuk . [10] El grupo es conocido como Wizard Spider y tiene su sede en San Petersburgo , Rusia . [11]
Una vez en un sistema, intentará eliminar Volume Shadow Copies . [3] Intentará finalizar una serie de servicios mediante el Administrador de reinicio para asegurarse de que puede cifrar los archivos utilizados por ellos. [3] Deshabilitará el monitor en tiempo real y desinstalará la aplicación Windows Defender. El comportamiento predeterminado es cifrar todos los archivos en las unidades de Server Message Block locales y en red , ignorando los archivos con extensiones DLL , .exe , .sys y .lnk . [3] También puede apuntar a unidades específicas, así como a direcciones IP individuales. [3] [12]
Según NHS Digital, la única forma garantizada de recuperación es restaurar todos los archivos afectados desde su copia de seguridad más reciente. [3]
El miembro más antiguo es conocido por los alias Stern o Demon y actúa como director ejecutivo . [13] Otro miembro conocido como Mango actúa como gerente general y se comunica frecuentemente con Stern. [13] Mango le dijo a Stern en un mensaje que había 62 personas en el equipo principal. [13] Los números involucrados fluctúan, llegando hasta 100. [13] Debido a la rotación constante de miembros, el grupo recluta constantemente de sitios legítimos de reclutamiento laboral y sitios de piratas informáticos. [13]
Los programadores comunes ganan entre 1500 y 2000 dólares al mes, y los miembros que negocian pagos de rescate pueden quedarse con una parte de las ganancias. [13] En abril de 2021, un miembro afirmó tener un periodista anónimo que se quedaba con una parte del 5% de los pagos de ransomware presionando a las víctimas para que pagaran. [13]
En mayo de 2022, el gobierno de Estados Unidos ofreció una recompensa de hasta 15 millones de dólares por información sobre el grupo: 10 millones por la identidad o ubicación de sus líderes, y 5 millones por información que conduzca al arresto de cualquiera que conspire con él. [14]
Se han detectado ataques del ransomware Conti en todo el mundo, y Estados Unidos registró el mayor número de intentos de ataque entre el 1 de enero y el 12 de noviembre de 2021, superando el millón de intentos. Los Países Bajos y Taiwán ocuparon el segundo y tercer lugar, respectivamente. [9]
El sector minorista ha sido el principal objetivo de los ataques de Conti, seguido de los sectores de seguros, manufactura y telecomunicaciones. El sector de la salud, que fue blanco de ataques de alto perfil del grupo Conti, ocupa el sexto lugar en la lista de sectores afectados. [9]
A menudo se considera a Conti como el sucesor del ransomware Ryuk. [9]
Durante la invasión rusa de Ucrania en 2022 , el Grupo Conti anunció su apoyo a Rusia y amenazó con implementar "medidas de represalia" si se lanzaban ciberataques contra el país. [15] [16] [13] Como resultado, aproximadamente 60.000 mensajes de registros de chat internos fueron filtrados por una persona anónima que indicó su apoyo a Ucrania [17] [18] [19] junto con el código fuente y otros archivos utilizados por el grupo. [20] [13] [21]
Las filtraciones abarcan desde principios de 2020 hasta el 27 de febrero de 2022 y constan de más de 60.000 mensajes de chat. [13] La mayoría de los mensajes filtrados fueron mensajes directos enviados a través de Jabber . [13] Los ataques se coordinaron utilizando Rocket.chat. [13] Las filtraciones están fragmentadas. [13]
Algunos de los mensajes hablan de las acciones de Cozy Bear para hackear a los investigadores sobre COVID-19 . [22] Kimberly Goody, directora de análisis de delitos cibernéticos en Mandiant, dice que las referencias a una fuente externa sin nombre en los registros podrían ser útiles para la banda. [22] Señala la mención en las filtraciones de la Avenida Liteyny en San Petersburgo , hogar de las oficinas locales del FSB , como evidencia de que la fuente externa podría ser el gobierno ruso. [22]
Las opiniones expresadas en las filtraciones incluyen apoyo a Vladimir Putin , Vladimir Zhirinovsky y antisemitismo , incluso hacia Volodymyr Zelenskyy . [23] Un miembro conocido como Patrick repitió varias afirmaciones falsas hechas por Putin sobre Ucrania. [23] Patrick vive en Australia y puede ser ciudadano ruso. [23]
Algunos mensajes muestran una obsesión con Brian Krebs . [23]
Los mensajes utilizan el mat de forma intensiva. [23] También se encontraron mensajes que contenían homofobia , misoginia y referencias al abuso infantil. [23]
En las semanas siguientes a la filtración, el grupo se disolvió. [24] Un informe de Recorded Future dijo que no creían que la filtración fuera una causa directa de la disolución, sino que había acelerado las tensiones ya existentes dentro del grupo. [24]