Conti (ransomware)

Grupo de ransomware que ataca principalmente productos de Microsoft

Conti es un malware desarrollado y utilizado por primera vez por el grupo de hackers con sede en Rusia " Wizard Spider " en diciembre de 2019. ^{[1] [2]} Desde entonces, se ha convertido en una operación de ransomware como servicio (RaaS) en toda regla utilizada por numerosos grupos de actores de amenazas para realizar ataques de ransomware .

El malware Conti, una vez implementado en el dispositivo de una víctima, no solo encripta los datos del dispositivo, sino que también se propaga a otros dispositivos de la red, oculta su presencia y proporciona a un atacante remoto control sobre sus acciones en el objetivo. ^[1] Se sabe que todas las versiones de Microsoft Windows están afectadas. ^[3] El gobierno de los Estados Unidos ofreció una recompensa de hasta 10 millones de dólares por información sobre el grupo a principios de mayo de 2022. ^[4]

Descripción

Modelo RaaS

Según un manual filtrado, los miembros principales del equipo de una operación de Conti administran el malware , mientras que los afiliados reclutados se encargan de explotar las redes de las víctimas y cifrar sus dispositivos. ^{[5] [6]}

El modelo de ransomware como servicio de Conti varía en su estructura con respecto a un modelo de afiliados típico. A diferencia de otros modelos de RaaS, los grupos que utilizan el modelo de Conti probablemente pagan a los implementadores del malware en salarios en lugar de un porcentaje del rescate (una vez pagado). ^[7] También se sabe que los operadores de Conti utilizan la doble extorsión como un medio para presionar a las víctimas para que paguen, incluida la publicación de los datos robados de la víctima. En los casos en que una organización víctima se niega a pagar, han vendido el acceso a la organización a otros actores de amenazas. ^[8]

Tácticas y técnicas

El ransomware Conti emplea varias técnicas de sigilo, incluido el uso de BazarLoader, para infiltrarse en los sistemas de destino. El ransomware está diseñado para cifrar archivos y hacerlos inaccesibles hasta que se pague un rescate. A menudo se distribuye a través de correos electrónicos de phishing , kits de explotación o sitios web comprometidos. ^[1] Conti ha ganado notoriedad por apuntar a instituciones de atención médica, como se vio en sus ataques a organizaciones en Irlanda y Nueva Zelanda . ^[9]

También se sabe que el grupo Conti vende acceso a organizaciones de víctimas que se niegan a pagar el rescate . Esta práctica no solo agrega otra capa de presión a las víctimas, sino que también proporciona una fuente adicional de ingresos para la banda de ransomware. Estas tácticas, combinadas con las sofisticadas técnicas del grupo, han convertido a Conti en uno de los grupos de ransomware más prolíficos y capaces que operan en 2021. ^[9]

El software utiliza su propia implementación de AES-256 que utiliza hasta 32 subprocesos lógicos individuales, lo que lo hace mucho más rápido que la mayoría de ransomware. ^[3] El método de entrega no está claro. ^[3]

La banda detrás de Conti ha operado un sitio desde el cual puede filtrar documentos copiados por el ransomware desde 2020. ^[10] La misma banda ha operado el ransomware Ryuk . ^[10] El grupo es conocido como Wizard Spider y tiene su sede en San Petersburgo , Rusia . ^[11]

Una vez en un sistema, intentará eliminar Volume Shadow Copies . ^[3] Intentará finalizar una serie de servicios mediante el Administrador de reinicio para asegurarse de que puede cifrar los archivos utilizados por ellos. ^[3] Deshabilitará el monitor en tiempo real y desinstalará la aplicación Windows Defender. El comportamiento predeterminado es cifrar todos los archivos en las unidades de Server Message Block locales y en red , ignorando los archivos con extensiones DLL , .exe , .sys y .lnk . ^[3] También puede apuntar a unidades específicas, así como a direcciones IP individuales. ^{[3] [12]}

Según NHS Digital, la única forma garantizada de recuperación es restaurar todos los archivos afectados desde su copia de seguridad más reciente. ^[3]

Membresía y estructura

El miembro más antiguo es conocido por los alias Stern o Demon y actúa como director ejecutivo . ^[13] Otro miembro conocido como Mango actúa como gerente general y se comunica frecuentemente con Stern. ^[13] Mango le dijo a Stern en un mensaje que había 62 personas en el equipo principal. ^[13] Los números involucrados fluctúan, llegando hasta 100. ^[13] Debido a la rotación constante de miembros, el grupo recluta constantemente de sitios legítimos de reclutamiento laboral y sitios de piratas informáticos. ^[13]

Los programadores comunes ganan entre 1500 y 2000 dólares al mes, y los miembros que negocian pagos de rescate pueden quedarse con una parte de las ganancias. ^[13] En abril de 2021, un miembro afirmó tener un periodista anónimo que se quedaba con una parte del 5% de los pagos de ransomware presionando a las víctimas para que pagaran. ^[13]

En mayo de 2022, el gobierno de Estados Unidos ofreció una recompensa de hasta 15 millones de dólares por información sobre el grupo: 10 millones por la identidad o ubicación de sus líderes, y 5 millones por información que conduzca al arresto de cualquiera que conspire con él. ^[14]

Industrias y países afectados

Se han detectado ataques del ransomware Conti en todo el mundo, y Estados Unidos registró el mayor número de intentos de ataque entre el 1 de enero y el 12 de noviembre de 2021, superando el millón de intentos. Los Países Bajos y Taiwán ocuparon el segundo y tercer lugar, respectivamente. ^[9]

El sector minorista ha sido el principal objetivo de los ataques de Conti, seguido de los sectores de seguros, manufactura y telecomunicaciones. El sector de la salud, que fue blanco de ataques de alto perfil del grupo Conti, ocupa el sexto lugar en la lista de sectores afectados. ^[9]

Historia

Origen

A menudo se considera a Conti como el sucesor del ransomware Ryuk. ^[9]

Fugas

Durante la invasión rusa de Ucrania en 2022 , el Grupo Conti anunció su apoyo a Rusia y amenazó con implementar "medidas de represalia" si se lanzaban ciberataques contra el país. ^{[15] [16] [13]} Como resultado, aproximadamente 60.000 mensajes de registros de chat internos fueron filtrados por una persona anónima que indicó su apoyo a Ucrania ^{[17] [18] [19]} junto con el código fuente y otros archivos utilizados por el grupo. ^{[20] [13] [21]}

Las filtraciones abarcan desde principios de 2020 hasta el 27 de febrero de 2022 y constan de más de 60.000 mensajes de chat. ^[13] La mayoría de los mensajes filtrados fueron mensajes directos enviados a través de Jabber . ^[13] Los ataques se coordinaron utilizando Rocket.chat. ^[13] Las filtraciones están fragmentadas. ^[13]

Algunos de los mensajes hablan de las acciones de Cozy Bear para hackear a los investigadores sobre COVID-19 . ^[22] Kimberly Goody, directora de análisis de delitos cibernéticos en Mandiant, dice que las referencias a una fuente externa sin nombre en los registros podrían ser útiles para la banda. ^[22] Señala la mención en las filtraciones de la Avenida Liteyny en San Petersburgo , hogar de las oficinas locales del FSB , como evidencia de que la fuente externa podría ser el gobierno ruso. ^[22]

Las opiniones expresadas en las filtraciones incluyen apoyo a Vladimir Putin , Vladimir Zhirinovsky y antisemitismo , incluso hacia Volodymyr Zelenskyy . ^[23] Un miembro conocido como Patrick repitió varias afirmaciones falsas hechas por Putin sobre Ucrania. ^[23] Patrick vive en Australia y puede ser ciudadano ruso. ^[23]

Algunos mensajes muestran una obsesión con Brian Krebs . ^[23]

Los mensajes utilizan el mat de forma intensiva. ^[23] También se encontraron mensajes que contenían homofobia , misoginia y referencias al abuso infantil. ^[23]

Disolución

En las semanas siguientes a la filtración, el grupo se disolvió. ^[24] Un informe de Recorded Future dijo que no creían que la filtración fuera una causa directa de la disolución, sino que había acelerado las tensiones ya existentes dentro del grupo. ^[24]

Objetivos conocidos

• Agencia Escocesa de Protección del Medio Ambiente ^[11]
• Cara gorda ^[11]
• Servicio Ejecutivo de Salud en la República de Irlanda . ^[11]
• Junta de Salud del Distrito de Waikato en Nueva Zelanda . ^[25]
• Mosca de obturador . ^[26]
• Aperitivos KP . ^[27]
• Hoteles de la cadena Nordic Choice ^[28]

Véase también

• Clop (banda cibernética)
• Royal (banda cibernética)
• Bloqueo de bits

Referencias

1. "Conti, Software S0575 | MITRE ATT&CK®". attack.mitre.org . Consultado el 31 de mayo de 2024 .
2. Equipo, The CrowdStrike Intel (16 de octubre de 2020). "Wizard Spider modifica y amplía el conjunto de herramientas [Actualización de Adversary]". crowdstrike.com . Consultado el 31 de mayo de 2024 .
3. "Conti Ransomware". NHS Digital . 9 de julio de 2020 . Consultado el 14 de mayo de 2021 .
4. "Conti ransomware | CISA". www.cisa.gov . 9 de marzo de 2022 . Consultado el 31 de mayo de 2024 .
5. "Afiliado del ransomware Angry Conti filtra el manual de ataque de la banda". BleepingComputer . Consultado el 31 de mayo de 2024 .
6. "Traducido: las conclusiones de Talos a partir del manual de estrategias del ransomware Conti recientemente filtrado". Blog de Cisco Talos . 2 de septiembre de 2021 . Consultado el 31 de mayo de 2024 .
7. "Conti ransomware | CISA". www.cisa.gov . 9 de marzo de 2022 . Consultado el 9 de julio de 2023 .
8. "Ransomware Spotlight: Conti - Security News" (En el punto de mira del ransomware: Conti - Noticias de seguridad). www.trendmicro.com . Consultado el 31 de mayo de 2024 .
9. "Ransomware Spotlight: Conti - Security News" (En el punto de mira de Conti: noticias de seguridad). www.trendmicro.com . Consultado el 9 de julio de 2023 .
10. Cimpanu, Catalin (25 de agosto de 2020). "Conti (Ryuk) se suma a las filas de las bandas de ransomware que operan sitios de filtración de datos". ZDNet . Consultado el 15 de mayo de 2021 .
11. Corfield, Gareth (14 de mayo de 2021). "Los hospitales cancelan citas para pacientes ambulatorios debido a que el servicio de salud irlandés es atacado por ransomware". The Register . Consultado el 15 de mayo de 2021 .
12. Cimpanu, Catalin (9 de julio de 2020). «El ransomware Conti utiliza 32 subprocesos simultáneos de CPU para un cifrado ultrarrápido». ZDNet . Consultado el 14 de mayo de 2021 .
13. Burgess, Matt (16 de marzo de 2022). "La vida cotidiana de la banda de ransomware más peligrosa del mundo". Wired UK . Consultado el 21 de marzo de 2022 .
14. Beech, Eric (7 de mayo de 2022). "Estados Unidos ofrece una recompensa de 15 millones de dólares por información sobre el grupo de ransomware Conti". Reuters.
15. Reichert, Corinne (25 de febrero de 2022). "El grupo de ransomware Conti advierte que habrá represalias si Occidente lanza un ciberataque contra Rusia". CNET . Consultado el 2 de marzo de 2022 .
16. Bing, Christopher (25 de febrero de 2022). "El grupo de ransomware Conti, con sede en Rusia, emite una advertencia a los enemigos del Kremlin". Reuters . Consultado el 2 de marzo de 2022 .
17. Corfield, Gareth (28 de febrero de 2022). «Se filtraron 60.000 mensajes de la banda de ransomware Conti». The Register . Consultado el 2 de marzo de 2022 .
18. Humphries, Matthew (28 de febrero de 2022). "Apoyar a Rusia fracasa cuando se filtran los chats internos de la banda de ransomware Conti". PCMag . Consultado el 2 de marzo de 2022 .
19. Faife, Corin (28 de febrero de 2022). «Un grupo de ransomware pagó el precio por respaldar a Rusia». The Verge . Consultado el 2 de marzo de 2022 .
20. "Se filtra el ransomware Conti". Malwarebytes . 1 de marzo de 2022 . Consultado el 2 de marzo de 2022 .
21. 'Puedo pelear con un teclado': cómo un especialista en TI ucraniano expuso una notoria banda rusa de ransomware CNN. 2022.
22. Burgess, Matt (18 de marzo de 2022). "Documentos filtrados sobre ransomware muestran que Conti ayuda a Putin desde las sombras". Wired UK . Consultado el 21 de marzo de 2022 .
23. Lee, Micah (14 de marzo de 2022). "Chats filtrados muestran que una banda rusa de ransomware habla sobre la invasión de Ucrania por parte de Putin". The Intercept . Consultado el 21 de marzo de 2022 .
24. Hardcastle, Jessica Lyons (24 de febrero de 2023). «La invasión de Ucrania hizo estallar las alianzas de ciberdelincuencia rusas». The Register . Consultado el 25 de febrero de 2023 .
25. "Hospitales de Waikato afectados por incidente de ciberseguridad". Radio Nueva Zelanda . 18 de mayo de 2021 . Consultado el 18 de mayo de 2021 .
26. "Los servicios de Shutterfly se vieron interrumpidos por el ataque del ransomware Conti". Bleeping Computer . 27 de diciembre de 2021 . Consultado el 27 de diciembre de 2021 .
27. "El gigante de KP Snacks se ve afectado por el ransomware Conti". Bleeping Computer . 22 de enero de 2022 . Consultado el 22 de enero de 2022 .
28. Stupp, Catherine (12 de enero de 2022). "Dentro de un ataque de ransomware en Nordic Choice Hotels". Wall Street Journal . ISSN  0099-9660 . Consultado el 15 de julio de 2022 .