El Ransomware Conti a afectado a mas de 400 empresas

Los ransomware son la herramienta mas utilizada por lo cibercriminales y es que el 14 de mayo, el Health Service Executive, el sistema de salud financiado con fondos públicos de Irlanda, fue víctima de un ataque de ransomware Conti, lo que obligó a la organización a cerrar más de 80.000 terminales afectados y los devolvió a la era del lápiz y el papel. Más de 290 organizaciones de atención médica y de primeros auxilios (de las 400 afectadas en todo el mundo) que fueron víctimas de un ataque de ransomware Conti tenían su sede en EE.UU. Nueva Zelanda también informó que al menos 5 hospitales cerraron su red de TI en respuesta a un ataque similar.

Para proteger los sistemas contra el ransomware Conti, CISA, el FBI y la Agencia de Seguridad Nacional (NSA) recomiendan implementar las medidas de mitigación descritas en este Aviso, que incluyen requerir autenticación multifactor, implementar la segmentación de la red y mantener los sistemas operativos y el software.

Si bien Conti se considera una variante de ransomware del modelo de ransomware como servicio (RaaS), existe una variación en su estructura que lo diferencia de un modelo de afiliado típico. Es probable que los desarrolladores de Conti paguen a los implementadores del ransomware un salario en lugar de un porcentaje de las ganancias utilizadas por los ciber actores afiliados y reciban una parte de las ganancias de un ataque exitoso.

Cabe destacar que los actores de Conti explotan software legítimo de administración y monitoreo remoto y software de escritorio remoto como puertas traseras para mantener la persistencia en las redes de víctimas. Ademas los actores usan herramientas ya disponibles en la red de víctimas y, según sea necesario, agregan herramientas adicionales , como Windows Sysinternals y Mimikatz, para obtener los hashes y las credenciales de texto sin cifrar de los usuarios, que permiten a los actores escalar privilegios dentro de un dominio y realizar otras tareas posteriores a la explotación y de movimiento lateral. En algunos casos, los actores también utilizan el malware TrickBot para realizar tareas posteriores a la explotación.

Los actores de Conti a menudo utilizan el programa de línea de comando de código abierto Rclone para la exfiltración de datos. Después de que los actores roban y cifran los datos confidenciales de la víctima, emplean una técnica de doble extorsión en la que exigen que la víctima pague un rescate por la liberación de los datos cifrados y amenazan a la víctima con la divulgación pública de los datos si el rescate es no pagado aunque por supuesto esto nunca es recomendado ya que nadie te asegura que tus datos sean devueltos.

Entradas relacionadas

Dejar un Comentario