¿Qué es Conti Ransomware?

En el contexto de la ciberseguridad, Conti nos trae a la mente los malvados grupos de hackers capaces de paralizar los sistemas y redes más seguros. También describe el sofisticado ransomware desarrollado y utilizado por los delincuentes antes mencionados para atacar a organizaciones en todo el mundo. Aunque solo estuvo activo durante unos pocos años, el grupo Conti Ransomware, respaldado por Rusia, utilizó herramientas maliciosas de todo tipo y tácticas de extorsión agresivas para obtener cientos de millones de dólares. Aunque el grupo ya no existe, Conti y otras herramientas similares de ransomware siguen activas y en pleno funcionamiento.

Cuando un ciberdelincuente despliega Conti en la red de la víctima, se propaga rápidamente mientras cifra y transfiere datos a una ubicación remota. El objetivo es el control total de los datos de la víctima, lo que conduce a un rescate cobrado en forma de doble extorsión. Sin una clave de descifrado, las víctimas ya no pueden acceder a los datos. Mientras tanto, dado que el atacante también ha descargado los datos, se suma a su intento de extorsión amenazando con divulgar información confidencial. Si bien ambos escenarios (pérdida de acceso a los datos y filtración de información confidencial) pueden resultar en daños graves para una organización, el pago de una demanda de rescate a menudo no ayuda a la situación.

Cómo funciona

El grupo Conti operaba como un programa de afiliados de ransomware como servicio (RaaS). El grupo surgió en 2019, ocupando el lugar de otro, y comenzó a ofrecer la sofisticada tecnología Conti Ransomware para comprar o alquilar a afiliados que llevan a cabo ataques. Un ataque requiere la implementación de Conti Ransomware, aunque en la mayoría de los casos, un actor real trabaja para descifrar sistemas utilizando una gran variedad de herramientas y técnicas.

Debido a esto, las organizaciones deben prepararse para cualquier posibilidad, y un buen punto de partida es el framework ATT&CK, desarrollado por la organización sin fines de lucro MITER. Este framework es una base de conocimientos completa de ataques y estrategias de respuesta. Se desarrolla mediante la observación de ciberataques en el mundo real y proporciona procedimientos detallados para ayudar a las organizaciones a identificar y defenderse de estas amenazas.

Acceso inicial

Un ataque de ransomware comienza cuando los actores intentan obtener acceso a la red de la víctima. Un método típico suelen ser los ataques de phishing a través de correos electrónicos con un documento de Word o un archivo zip adjunto que parece inofensivo. Sin embargo, estos archivos adjuntos son malware que despliega exploits de primera etapa, como Cobalt Strike. Otro enfoque consiste en buscar puertos RDP abiertos a través de escaneos de red y usar estos puertos para iniciar sesión con credenciales robadas. Una vez dentro, los atacantes utilizan diversas herramientas (tanto maliciosas como de código abierto) para navegar por la red, localizar almacenes de datos y comprometer la seguridad. Por este motivo, un aprovisionamiento cuidadoso y una seguridad estricta son esenciales para las organizaciones con acceso de trabajadores remotos.

Otras técnicas aprovechan las debilidades de herramientas estándar como Active Directory, que almacena hashes de contraseñas en el disco y en la memoria. Se pueden extraer fácilmente con herramientas como mimikitz, que proporcionan a los atacantes credenciales administrativas y un acceso amplio a la red y sus datos. Para cualquier empresa que utilice Windows Server, implementar protección interna para Active Directory es una sabia decisión.

Movimiento lateral

Una vez que los atacantes han penetrado en una red, despliegan el ransomware Conti, haciendo que se propague por toda la red. A medida que se propaga, el código avanzado de Conti utiliza una técnica de subprocesos múltiples para cifrar rápidamente los datos y emplea múltiples técnicas de ofuscación para evadir varias capas de seguridad. Esta estrategia maximiza el daño que inflige Conti antes de que las soluciones de endpoints puedan detectar y detener el ataque.

Conti debe la velocidad y la eficiencia en la propagación a su movimiento lateral en una red, específicamente al protocolo de Bloque de mensajes del servidor (Server Message Block). Todos los sistemas Microsoft Windows utilizan SMB para comunicarse con dispositivos, como impresoras de red. En lugar de seguir a los dispositivos de red convencionales, Conti se propaga a través del protocolo SMB, lo que hace que sea excepcionalmente difícil de detectar y contener. La configuración del parámetro de cliente SMB de Windows ayuda a mitigar este enfoque lateral. 

Exfiltración y cifrado

Una vez que una red ha sido completamente vulnerada, los atacantes utilizan herramientas de código abierto, como Rclone, para filtrar los datos de la víctima a un proveedor de almacenamiento en la nube. El objetivo es evitar el marcado por parte de los sistemas de seguridad que monitorean la actividad sospechosa en la red. Mientras tanto, los atacantes también intentan eliminar o corromper los backups como parte de su estrategia. Esto hace que sea más difícil para las víctimas recuperar los datos sin pagar un rescate. Muchos equipos pasan por alto la estrategia de mantener backups seguros en una ubicación aislada, pero este descuido puede resultar caro si se trata de ransomware.

Extorsión (ransomware)

Los actores a menudo pasan días o semanas dentro de una red, cifrando y transfiriendo datos y eliminando los backups. Para cuando exigen el rescate, ya es demasiado tarde: Los datos de la víctima ya están cifrados, por lo que no se puede acceder a ellos sin la clave de descifrado. Los actores exigen millones de dólares a cambio de esta clave, y dado que la pérdida de tantos datos es devastadora para cualquier organización, estas demandas suelen cumplirse.

Un ataque Conti también implica la amenaza de datos filtrados. Los actores imponen una capa adicional de extorsión al amenazar con filtrar información confidencial a menos que las víctimas paguen sus demandas de rescate. La amenaza de exponer datos confidenciales de empresas o clientes obliga a muchas empresas a pagar la tarifa de rescate.

La historia y el futuro de los ataques Conti

La banda de ransomware Conti se estableció como uno de los grupos de cibercrimen más temidos y famosos de la historia. Durante unos pocos años, el grupo coordinó numerosos ataques de alto perfil, incluidos ataques cibernéticos a corporaciones, centros de salud, municipios e incluso gobiernos nacionales.

Formación, Membresía y Estructura

Surgido alrededor de 2019 o 2020, el grupo Conti se formó para reemplazar a Ryuk, otra banda de ransomware y de hackers. Al igual que su predecesor, la mayoría de los analistas de seguridad creen que Conti fue dirigido por piratas informáticos con vínculos rusos. Operando como una organización de ransomware como servicio, el grupo arrendaba su tecnología e infraestructura a otros grupos y hackers que los usaban para lanzar ataques. El grupo Conti recibía comisiones por ataques exitosos.

Parte de la infraestructura de Conti era un sitio web utilizado para filtrar datos confidenciales exfiltrados durante ataques exitosos. El sitio se lanzó en agosto de 2020 y, a finales del mismo año, había filtrado datos de más de 150 organizaciones. Si bien proporcionar malware e infraestructura a otros piratas informáticos a cambio de ganancias no es inusual en el cibercrimen, el enfoque del grupo Conti fue único.

El grupo Conti asumió un papel más activo en los ataques, llegando incluso a contratar hackers como empleados. Utilizaba prácticas comerciales comunes a las empresas de tecnología, participando en esfuerzos de reclutamiento con promesas de beneficios y altos salarios. En un momento dado, había un departamento de recursos humanos activo. No debería ser ninguna sorpresa que el grupo Conti fuera y siga siendo considerado un sindicato criminal.

Ataques famosos

En marzo de 2021, Conti se infiltró en el Health Service Executive de Irlanda y consiguió acceder a toda la red, incluidos 70.000 dispositivos. Antes del 14 de mayo de 2021, Conti había cifrado varios terabytes de datos y desactivado la infraestructura del hospital. Conti dijo que había exfiltrado más de 700 GB de datos, incluida información personal de pacientes, empleados y contratistas. El grupo exigió $20 millones para deshacer sus acciones.

Micheal Martin, el primer ministro de Irlanda en ese momento, anunció en televisión que el gobierno no pagaría el rescate. El 20 de mayo, el FBI emitió una declaración en la que describía ataques similares de Conti contra redes de atención médica y de respuesta inicial en los EE. UU. y el resto del mundo, y pedía cualquier información sobre las operaciones del grupo.

El 29 de septiembre de 2021, JVCKenwood reveló que algunos de sus servidores en Europa habían sido violados y que los datos de los clientes podrían haberse visto comprometidos. Al día siguiente, el sitio de noticias Bleeping Computer recibió una copia de la nota de rescate que se envió a JVCKenwood, en la que podía identificarse a Conti como los atacantes y los extorsionadores. El grupo dijo en la nota que había robado casi 2 TB de datos, por lo que exigió $7 millones.

En mayo de 2021, se produjo un ataque similar en Tulsa, Oklahoma, cuando el ransomware cerró la red de la ciudad, lo que provocó interrupciones en sus sistemas en línea. El grupo Conti se atribuyó la responsabilidad, publicando casi 19.000 archivos, en su mayoría citaciones policiales y documentos internos de Word. En respuesta, la ciudad emitió una advertencia de que la información personal estaba expuesta en los archivos filtrados.

El ataque más notorio de Conti tuvo lugar desde mediados de abril hasta finales de mayo de 2022. Después de soportar semanas de ataques en Costa Rica, el gobierno declaró una emergencia nacional, el primer país en hacerlo en respuesta a un ataque cibernético. La banda de ransomware atacó las redes y sistemas de decenas de organismos gubernamentales, incluidos el Ministerio de Hacienda y el Ministerio de Trabajo y Seguridad Social. Los devastadores ataques le costaron al gobierno millones de dólares y demostraron que un grupo de hackers puede desmantelar un país entero.

Cambio de marca

Muchas empresas de seguridad cibernética creen que el ataque de la pandilla Conti a Costa Rica fue una artimaña elaborada para llamar la atención de sus esfuerzos de cambio de marca. Justo antes de que comenzara el ataque, el grupo ya había iniciado el proceso de desmantelamiento de la marca Conti. En mayo de 2022, la empresa de ciberseguridad AdvIntel declaró oficialmente muerto al grupo de hackers criminales.

Aunque nadie lo sabe con certeza, muchos expertos creen que el grupo se disolvió por divisiones internas tras la invasión rusa de Ucrania el 24 de febrero de 2022. Al día siguiente de que comenzara la invasión, Conti anunció su apoyo a Rusia. Dos días después, el 27 de febrero, una cuenta nueva de Twitter filtró más de 170.000 registros de chats internos del grupo, así como el código fuente del ataque de ransomware de Conti.

La filtración proporcionó un tesoro de información para los analistas de seguridad, incluidas las herramientas exactas y los métodos utilizados por los piratas informáticos para infiltrarse en organizaciones de todo el mundo. También demostró lo bien organizado que estaba el grupo, operando como una startup de alta tecnología con puestos y jerarquías establecidas, que incluía codificadores, administradores de sistemas, reclutadores y ejecutivos.

El 24 de junio, un mes después de que terminara el ataque a Costa Rica, el último de los sitios web del grupo Conti se apagó, marcando el final de una de las organizaciones de cibercrimen más famosas de la historia. Pero los hackers sin rostro que hicieron de Conti lo que era no fueron a la cárcel ni desaparecieron. Mientras su ataque final estaba en marcha, se dispersaron silenciosamente y pasaron a formar parte de grupos y bandas nuevos.

Cómo detectar un ataque Conti

Un ataque Conti es, por definición, multifacético. Se trata de múltiples vectores de ataque que suelen tener lugar a lo largo de varios días. Debido a que los atacantes utilizan herramientas comunes y siempre disponibles durante todo el ataque, la detección es un desafío. Sin embargo, hay señales para aquellos que saben qué buscar. Un método es la monitorización diligente de la red. Las herramientas de monitorización en tiempo real pueden alertar a los administradores cuando un evento alcanza un determinado umbral, por ejemplo, intentos fallidos de inicio de sesión o el escaneo de varios puertos.

Otro indicador es un aumento en los correos electrónicos de phishing. Los atacantes de ransomware utilizan el phishing para robar credenciales, comprometer sistemas en la red y obtener acceso. Las empresas pueden mejorar las probabilidades de detectar un ataque en sus primeras etapas asegurándose de que los empleados identifiquen y marquen adecuadamente los correos electrónicos sospechosos, alertando así a los equipos de seguridad.

Cómo mitigar un ataque Conti

Implementar la autenticación multifactor para todos los usuarios es una de las medidas más efectivas para proteger su organización de ataques de ransomware como el de Conti. La autenticación multifactor requiere que los usuarios tengan dos o más formas de identificación para acceder a cuentas seguras, lo que dificulta enormemente que los piratas informáticos obtengan acceso a través de contraseñas comprometidas.

Implementar y mantener una segmentación de red robusta es otro paso para proteger a su organización contra las amenazas del ransomware. La segmentación de la red ayuda a reducir la propagación del malware aislando las redes y las funciones entre sí, lo que evita el movimiento lateral de ransomware como Conti. 

Algunas otras estrategias de seguridad incluyen:

• Utilizar software de seguridad: Utilice herramientas de detección y respuesta a las amenazas de los endpoints para aumentar la visibilidad de la seguridad de los endpoints y protegerse frente a ciberdelincuentes malintencionados. Configure programas antivirus y antimalware para realizar análisis periódicos de los activos de la red con firmas actualizadas.
• Limitación del acceso a la red: restrinja el protocolo de escritorio remoto (RDP) si no se utiliza. Si se considera necesario el protocolo de escritorio remoto (RDP), restrinja las fuentes de origen y exija la autenticación multifactor después de evaluar los riesgos.
• Aprovechar las políticas de aplicaciones: asegúrese de que todo el software conectado a la red, incluidos los sistemas operativos y las aplicaciones, se actualice con prontitud. Considere la posibilidad de utilizar un sistema centralizado de gestión de parches para definir las políticas.
• Gestión de la seguridad de las aplicaciones: elimine las aplicaciones innecesarias de las operaciones diarias, ya que los actores de amenazas como Conti aprovechan muchas herramientas predeterminadas durante los ataques. Para ver qué software de libre acceso están utilizando los ciberdelincuentes, monitorice la lista de herramientas de CISA.

Garantizar que su organización tenga backups seguros como defensa contra ransomware es la forma más efectiva de negar el impacto de la extorsión de datos. Al desarrollar una estrategia de backup sólida y segura, las organizaciones se protegen contra la pérdida de datos a causa del cifrado y la exfiltración.

Qué hacer en caso de infección

La ciberseguridad es una batalla constante. Las organizaciones con una seguridad hipervigilante todavía pueden sucumbir a un exploit recién descubierto. Saber cómo manejar un ataque de ransomware puede evitar resultados peores en estas situaciones. El peor resultado posible sería pagar una demanda de rescate.

Las organizaciones no deberían pagar rescates tras un ataque de ransomware. Las empresas de seguridad independientes, así como la CISA, el FBI y la NSA, lo desaconsejan unánimemente. Al hacerlo, se fomentan nuevos ataques por parte de los actores originales y de grupos nuevos. Si los individuos deciden no proporcionar la clave de descifrado una vez pagado el rescate, la organización está peor de lo que estaba al principio.

En su lugar, siga los pasos a continuación, según lo recomendado por la organización mencionada anteriormente:

1. Siga la lista de respuesta al ransomware de la Guía conjunta contra el ransomware.
2. Si es posible, escanee los backups de los datos con un programa antivirus para asegurarse de que no estén infectados.
3. Notifique inmediatamente el incidente a CISA, a una oficina local del FBI o a una oficina local del Servicio Secreto de los Estados Unidos.

En caso de un ataque, las organizaciones deben actuar rápidamente para contener el daño y evitar una mayor propagación. Antes de comenzar la recuperación, es fundamental identificar el tipo de ransomware involucrado y determinar el alcance del daño. Los esfuerzos deben centrarse primero en restaurar los sistemas y datos más críticos, con un enfoque priorizado para minimizar el tiempo de inactividad y limitar el impacto del ataque.

Recuperarse de un ataque de ransomware es complicado. La restauración de sistemas, servicios y datos requiere mucho tiempo y es costosa, sin mencionar las interrupciones que se originan a las operaciones comerciales. La comunicación con las partes interesadas y los clientes es igualmente vital: reconstruir las relaciones es igual de importante. La conclusión es que una estrategia integral de backup y recuperación, además de realizar pruebas regulares, minimiza los riesgos de la peor situación posible para cualquier ataque de ransomware.

Cómo puede ayudarle Veeam

La protección más eficaz contra el ransomware frente a los ataques de Conti y similares es una sólida estrategia de backup y recuperación de datos. Con el enfoque de prevención, detección y restauración de Veeam, las organizaciones pueden mitigar el impacto del ransomware ya que evitan la pérdida de datos por cifrado o corrupción. Ninguna organización es inmune a un ataque de ransomware, pero Veeam puede ayudar a proteger los datos de pérdidas irreparables y evitar la participación con grupos de ciberdelincuentes turbulentos.