Carrito de compras

Conti Ransomware

17 may. señal de advertencia

Desde el pasado lunes 18 de abril del 2022, hemos estado bajo la amenaza de un grupo de hackers conocido como Conti, el cual siguiendo sus objetivos y lineamientos así como su forma de actuar, ha estado atacando diversas entidades gubernamentales, a las cuales ha vulnerado desde sitios internos, expuestos y redes sociales.

Pero, ¿Qué es Conti?

La organización que supuestamente está detrás de esto es Conti Group, según publicaciones en la dark web, así como otras fuentes especializadas lo indican. Catalogada como una organización de crimen organizado transnacional sólida, fuerte y dañina.

Si bien Conti se considera una variante de ransomware del modelo de ransomware como servicio (RaaS), existente desde el año 2019, y una variación en su estructura que lo diferencia de un modelo de afiliado típico. Es probable que los desarrolladores de Conti paguen a los implementadores del ransomware un salario en lugar de un porcentaje de las ganancias utilizadas por los ciberactores afiliados y reciban una parte de las ganancias de un ataque exitoso,

Al igual que con otras familias de ransomware, los actores que usan Conti roban archivos e información confidencial de las redes comprometidas y amenazan con publicar estos datos a menos que los afectados paguen por el rescate de la información.

¿Cómo ataca Conti?

Los actores de Conti a menudo obtienen acceso inicial [TA0001 de acuerdo a Mittre ACC&CK] a las redes a través de:

  • Ataques de phishing a través de correos electrónicos personalizados que contienen archivos adjuntos maliciosos o enlaces maliciosos.
    Los archivos maliciosos adjuntos de Word a menudo contienen secuencias de comandos incrustadas que se pueden usar para descargar o soltar otro malware, como TrickBot (Troyano del 2016 escirto en C++), IcedID (malware de 2017, con foco en ataque a entidades financieras) y/o Cobalt Strike (herramienta de acceso remoto), para ayudar con el movimiento lateral y las etapas posteriores del ciclo de vida del ataque con el objetivo final de implementar Conti.
  • Secuestro de datos y/o debilidad de las credenciales del protocolo de escritorio remoto (RDP).
  • Llamadas telefónicas (ingeniería social, reingeniería).
  • Software falso promocionado a través de la optimización de motores de búsqueda.
  • Otras redes de distribución de malware (p. ej., ZLoader - malware de 2016, con foco en ataque a entidades financieras); y
  • Vulnerabilidades comunes en activos externos.

En la fase de ejecución [TA0002 de acuerdo a Mittre ACC&CK], los actores ejecutan un exploid (getuid) para reducir el riesgo de activar motores antivirus. CISA y el FBI han observado a los actores de Conti usando Router Scan, una herramienta de prueba de penetración, para escanear maliciosamente y usar fuerza bruta en enrutadores, cámaras y dispositivos de almacenamiento conectados a la red con interfaces web. Además, los actores usan ataques de Kerberos (protocolo que sirve para autenticar dos dispositivos que se conectan entre sí) para intentar obtener el hash (algoritmo matemático) de administrador para realizar ataques de fuerza bruta.

Se conoce que los actores de Conti explotan el software legítimo de administración y monitoreo remoto y el software de escritorio remoto como puertas traseras para mantener la persistencia [TA0003 de acuerdo a Mittre ACC&CK] en las redes de las víctimas. Los actores usan herramientas que ya están disponibles en la red de la víctima y, según sea necesario, agregan herramientas adicionales, como Windows Sysinternals y Mimikatz, para obtener los hash de los usuarios y las credenciales de texto sin cifrar, lo que les permite escalar los privilegios [TA0004 de acuerdo a Mittre ACC&CK] dentro de un dominio y realizar otras tareas de post-explotación y movimiento lateral [TA0008 de acuerdo a Mittre ACC&CK]. En algunos casos, los actores también utilizan el malware TrickBot para realizar tareas posteriores a la explotación

Contramedidas o Mitigaciones

  • Utilizar doble factor de autenticación (MFA).
  • Implementar segmentación de red y filtrar el tráfico.
  • Escanear vulnerabilidades periódicamente y actualizar el software que se utiliza en la organización.
  • Remover aplicaciones innecesarias y aplicar controles para que solo se permitan aplicaciones certificadas por la entidad.
  • Implementar soluciones de protección del end point (punto final) y de respuesta a las detecciones (EDR).
  • Limitar el acceso a los recursos de la red principalmente utilizando el protocolo de acceso remoto (RDP).
  • Asegurar las cuentas de usuario.
  • Generar respaldos y verificar periódicamente los mismos.
  • Capacitar al personal técnico y al administrativo.
  • Generar un plan de respuesta en caso de detección de ataques a la ciberseguridad.

¿Cómo hemos sido atacados y afectados en Costa Rica?

El MICITT desde el propio lunes 18 de abril del 2022, como el pasado 15 de marzo de este año, envió alertas a través del CSIRT-CR (Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) con sede en las instalaciones del Ministerio de Ciencia y Tecnología) a las instituciones del estado sobre esta amenaza informática.

Las instituciones atacadas por este ransomware y su afectación, hasta ahora son:

  • Ministerio de Hacienda: sistema de Administración Tributaria Virtual (ATV), sistema Tecnologías de Información para el Control Tributario (TICA).
  • Ministerio de Ciencia y Tecnología: se modificó una página de su sitio web.
  • Caja Costarricense del Seguro Social: hubo acceso al portal de Recursos Humanos y robo de información de los servidores de correo electrónico.
  • Instituto Meteorológico Nacional: robo de información de los servidores de correo electrónico.
  • Ministerio de Trabajo y Seguridad Social: robo de información de los servidores de correo electrónico.
  • Radiográfica Costarricense: robo de información de los servidores de correo electrónico.
  • Junta Administrativa del Servicio Eléctrico de Cartago: página web y servicios en línea, robo de información de los servidores de correo electrónico.

Las estimaciones más conservadoras sobre el costo total de una infracción de seguridad producida por un ransomware para el año 2021 -excluyendo el pago de rescates-, alcanzó, en promedio, los USD$ 4,6 millones de dólares, solo en Estados Unidos, mientras que los rescates llegaron a una suma, en el cuarto trimestre de 2021, mayor a los USD$139 mil a los USD$322 mil, un alza de 63% en el pago promedio y a permitido extorsiones por más de $2 mil millones a nivel global.

Pese a estas impresionantes cifras, el ransomware y sus consecuencias siguen siendo desconocidos entre el común de las personas. Las sociedades están pagando el precio de este ciberataque aún sin estar conscientes de ello.

Según la unidad de servicios tecnológicos de la Empresa de Servicios Públicos de Heredia (ESPH), Costa Rica pasó de la posición 165 a la 77 este 20 de abril, en el ranquin mundial de los países más golpeados por los hackers y según el E-Goverment Index de 2020; en el puesto 8 de América del Global Cibersegurity Index 2020 y la posición 5 junto con República Dominicana, del National Cibersegurity Index 2020.

Ing. Víctor H. Cerdas A. Strategic Account Executive, Experto Regional en Transformación Digital.

¿Te gustó? Entonces comparte la publicación: