Acerca del Conti Ransomware, que es realmente

Por instrucción de un servidor de comando y control, esta versión proliferó en todo el sistema de destino a través de SMB. El ransomware a menudo usa otras herramientas para obtener el control de una red, pero muy pocas pueden propagarse por sí mismas como lo hace Conti.

La segunda versión de Conti se lanzó el 9 de octubre, que consistía en el archivo ejecutable, cargador y biblioteca de vínculos dinámicos (DLL). Los cambios más notables en esta versión incluyeron la amenaza de publicar los datos de las víctimas si no pagaban el rescate. También incluyó mejoras técnicas como cambiar la extensión del ejecutable después de cada ataque y usar menos URL. Además, esta versión de Conti no requirió instrucciones para comenzar a proliferar.

La versión tres de Conti se detectó el 6 de noviembre, y los cambios más significativos incluyen un depurador de Python y más URL.

Se cree que el ransomware Conti lo ejecuta un grupo de ciberdelincuencia con sede en Rusia conocido como Wizard Spider. Este grupo utiliza ataques de phishing para instalar troyanos TrickBot y BazarLoader que brindan acceso remoto a las máquinas infectadas. Luego, usa este acceso remoto para propagarse lateralmente a través de la red mientras roba credenciales y recopila datos no cifrados que se almacenan en estaciones de trabajo y servidores.

Una vez que han robado todo lo que tiene valor y obtenido acceso a las credenciales de dominio de Windows, esperan. Durante este tiempo, permanecerán sin ser detectados, hasta que ataquen e implementen el ransomware en la red para cifrar todos los dispositivos. La pandilla Conti luego usa los datos robados como palanca para obligar a la víctima a pagar el rescate.

Al igual que Ryuk, el ransomware Conti es particularmente amenazante para las corporaciones y organizaciones que operan una infraestructura de red grande y compleja. Si bien tiene similitudes con el código fuente y el modus operandi de Ryuk, Conti es más inteligente, más rápido y más rápido en el cifrado de datos mientras cierra redes enteras. La conexión entre Ryuk y Conti está respaldada por el hecho de que los ataques de Conti aumentan a medida que disminuyen los ataques de Ryuk.

Estas son las técnicas que utiliza el malware Conti para propagarse.

Propagación y cifrado

Los ataques que utilizan la última versión del malware comienzan con el ejecutable independiente o el cargador que introduce una DLL de la sección de recursos y luego la ejecuta. Los siguientes pasos son:

  • El cargador descifra la carga útil mediante una clave codificada y la carga en la memoria.
  • Una vez que se carga la DLL, Conti inicia sus rutinas de cifrado y difusión. El ransomware escanea la red en busca de SMB (puerto 445). Si encuentra carpetas compartidas a las que pueda acceder, también intentará cifrar los archivos en las máquinas remotas.
  • Se utiliza una técnica rápida de subprocesos múltiples para cifrar los archivos, lo que lleva unos minutos completar esta tarea.

Si tus datos están encriptados por el ransomware Conti, notarás una extensión diferente adjunta a cada archivo. Estas extensiones tienen entre 5 y 8 caracteres y se generan aleatoriamente.

El ransomware se ejecuta manualmente en la memoria en todos los puntos finales activos, después de que se hayan extraído tantos archivos como sea posible. Luego, los archivos se retienen para obtener un rescate y la víctima se ve amenazada por la pérdida de datos, debido al cifrado y la filtración de los datos extraídos. Los archivos se cifran con una combinación de AES-256 y RSA-4096 a través de Microsoft CryptoAPI. 

Los ataques de Conti Ransomware continúan con la compatibilidad con  subprocesos de múltiples CPU

Entradas relacionadas

Dejar un Comentario