CONTI

Conti: Una breve aproximación

Su primera aparición fue en octubre de 2019 y opera como RaaS (Ransomware as a Service), es decir, el ransomware se ofrece en foros clandestinos reclutando afiliados que se encargan de distribuirlo a cambio de un porcentaje de los beneficios.

Este ransomware usa la modalidad de la doble extorsión, es decir, incluye al encriptado la técnica del doxing, que consiste en exfiltrar información del afectado antes de ser cifrada y amenazar a las víctimas con publicarla si no se paga el rescate. Esto aumenta la presión sobre los afectados, ya que no sólo recoge el hecho de que hay que intentar recuperar los archivos cifrados, sino que también hay que evitar una posible brecha de información, lo que podría perjudicar a la víctima de varias formas (su reputación por ejemplo).

Las victimas de este ransomware son organizaciones que o bien cuentan con grandes cantidades de dinero o que necesitan de la información para poder trabajar con normalidad. Conti ha sido uno de los más activos en el 2021 y deja casos conocidos como el ataque al sistema de salud de Irlanda en plena pandemia del Coronavirus.

El ransomware es capaz de acceder a las redes de las víctimas mediante campañas de phishing que pueden contener archivos maliciosos o enlaces infectados. Los archivos adjuntos maliciosos descargan malware como TrickBot u otro tipo de aplicaciones para implantar Backdoors o realizar movimientos laterales. También ataca vulnerabilidades en equipos expuestos a internet y al protocolo de escritorio remoto RDP.

El principal vector de ataque son personas reclutadas que se encargan de acceder a las redes, moverse lateralmente, escalar privilegios, exfiltrar la información de las víctimas y ejecutar el ransomware en los equipos. Todo ello, para cobrar una comisión que suele rondar el 70% en caso de éxito. Sin embargo, no siempre termina bien y puede terminar en conflictos en caso de impago, como ya ocurrió una vez y donde el afiliado publicó información de los manuales de Conti porque el grupo no le había pagado el monto de dinero acordado.

Conti: ¿Cómo opera?

Conti recluta a afiliados para que hagan “pentest” sobre el objetivo, y les proporciona las herramientas necesarias (muchas de ellas son herramientas comúnmente usadas a la hora de hacer un pentesting) junto con unos manuales detallados para que lleven a cabo las distintas acciones cibercriminales sobre los objetivos. Los manuales están tan detallados que incluso una persona con conocimientos básicos podría hacer uso de las herramientas.

Como ya se ha comentado, un ex-afiliado no muy contento por no recibir el dinero acordado filtró en agosto de 2021 los manuales y herramientas. En total había unos 37 manuales donde se detallaban cómo usar las herramientas que entre otras acciones permitían:

  • Configuración y utilización de Cobalt Strike, una herramienta de escaneos intrusivos que permite encontrar la ubicación de las vulnerabilidades así como para realizar pruebas de penetración.
  • Ataques por fuerza bruta al protocolo SMB con listado de algunas contraseñas básicas.
  • *Persistencia *dentro de una máquina mediante AnyDesk.
  • Desactivar Windows Defender en una máquina.
  • Enumerar usuarios dentro de la red.
  • Exfiltrar archivos mediante RClone.
  • Instalar Metasploit dentro de un VPS.
  • Utilización de ZeroLogon en Cobalt Strike, una vulnerabilidad en el inicio de sesión en la cual el vector de inicialización se establece como cero, cuando debería ser siempre un número aleatorio.
  • Escalada de privilegios.
  • Extracción de información de bases de datos SQL.
  • Escanear una red con NetScan.
  • Enlaces de repositorios con exploits o guías de como hacer un pentesting sobre Active Directory.
  • Dumpear el proceso LSASS con Cobalt Strike.
  • Sincronizar archivos de un PC contra servicios de almacenamientos en la nube usando RClone.

Cuando Conti se ejecuta, mientras se van cifrando los archivos de forma paralela usando hilos, se crea un archivo readme.txt que contiene la nota de rescate con todos los datos para contactar con los cibercriminales. Por otro lado, Conti es capaz de buscar dispositivos con carpetas compartidas con el protocolo SMB para cifrar su contenido. Resaltar que la creación de hilos permite al ransomware cifrar los archivos de forma más rápida. Además, dependiendo del tamaño del recurso a cifrar, Conti no necesariamente cifra el mismo entero, sino que puede cifrar sólo una parte del mismo.

El proceso de cifrado de un archivo se resume en:

  • Generar clave aleatoria para el algoritmo ChaCha8.
  • Cifrar el contenido dependiendo del tamaño del recurso.
  • Cifrar la clave simétrica con la clave pública RSA (alojada en .data del malware).
  • Guardar la clave cifrada dentro del recurso modificado.
  • Agregar la extensión .QTBHS al recurso modificado.

Por último, otras características observadas en dicho ransomware son:

  • Eliminar los archivos Shadow copies de la máquina víctima.
  • Posee código basura, que no modifica la lógica principal del malware, pero sí dificulta su análisis.
  • Tanto las cadenas de caracteres como los nombres de las API de Windows se encuentran ofuscadas con distintos algoritmos, y las dos ofuscan en tiempo de ejecución.
  • Capacidad de ejecutarse con ciertos argumentos: -p “carpeta” –> cifra los archivos de una carpeta en particular -m local –> cifra la máquina víctima con múltiples hilos -m net –> cifra las carpetas compartidas con múltiples hilos -m all –> cifra todo el contenido de la máquina victima como también las carpetas compartidas con múltiples hilos -m backups –> No implementado (podría estar relacionado con el borrado de archivos de backups) -size chunk –> modo para cifrar archivos grandes -log logfile –> No implementado (parece ser que crea un archivo que registra la actividad del malware mientras se ejecuta) -nomutex –> No crea un mutex
  • No cifra los archivos: - Terminados en las extensiones: .exe, .dll, .lnk, .sys, .msi y .bat. - Llamados readme.txt o CONTI_LOG.txt. - Que se encuentren en las carpetas: tmp, winnt, temp, thumb, $RecycleBin, Boot, Windows, TrendMicro, perflogs, Sophos o HitmanPro.

Conti: Prevención

Lo primero que todo, se desaconseja totalmente el pago por el rescate en caso de que se sufra un ataque de Conti o de otro ransomware, ya que esto favorece a que el cibercrimen crezca y que este tipo de ataques sean rentables. Además, pagar el rescate no nos asegura que el cibercriminal nos va a dar el descifrador.

¿Cómo evito o minimizo riesgos de este tipo de ataque entonces? Algunas de las medidas que puedes aplicar son:

  • Hacer backups de manera periódica.
  • Instalar solución de seguridad confiable.
  • Implementar solución EDR para detectar anomalías.
  • Mantener equipos actualizados (aplicaciones y Sistema operativo).
  • Deshabilitar RDP en caso de no ser necesario.
  • No abrir enlaces ni archivos adjuntos de remitentes no conocidos.
  • Mostrar extensiones de archivos que por defecto vienen ocultas, para evitar abrir recursos maliciosos.
  • Formar y concienciar acerca de los riesgos a los que se está expuestos en internet.
0 Comentarios