Conti
Conti es una operación de ransomware como servicio (RaaS) conocida por dirigirse a grandes organizaciones globales y agencias gubernamentales.
El origen del ransomware Conti
Conti comenzó como malware utilizado por primera vez por el grupo Wizard Spider con sede en Rusia en 2019. Se cree que es el sucesor del ransomware Ryuk, que atacó a más de 100 empresas estadounidenses e internacionales a partir de agosto de 2018. Con el tiempo, Conti hizo la transición a un modelo completo de ransomware como servicio (RaaS) utilizado por numerosos grupos para lanzar ataques. Se ha utilizado contra empresas globales y agencias gubernamentales, principalmente en América del Norte, para robar archivos confidenciales y exigir millones de dólares en rescates de organizaciones de altos ingresos. Conti Ransomware Group fue finalmente clausurado en 2022 tras dividirse en grupos más pequeños, pero sus métodos persisten en la actualidad.
Fuente: OCD & MITRE ATT&CK
Objetivos
Objetivos de Conti
Países objetivo del ransomware Conti
Conti atacó a cientos de víctimas desde Irlanda hasta Costa Rica. Sin embargo, sus ataques más exitosos se produjeron en Norteamérica.
Fuentes: Ransomware.live
Sectores afectados por el ransomware Conti
El ransomware Conti se utiliza principalmente contra empresas y organismos públicos, sobre todo en Norteamérica.
Fuente de la imagen: Sophos
Sectores afectados por el ransomware Conti
El ransomware Conti se utiliza principalmente contra empresas y organismos públicos, sobre todo en Norteamérica.
Fuente de la imagen: Sophos
Víctimas del ransomware Conti
Hasta la fecha, 351 víctimas han sido víctimas del ransomware Conti. Entre las víctimas más destacadas se encuentran el Health Service Executive (HSE) de Irlanda, oficinas de la administración local y varias empresas privadas. El ataque al HSE en 2021 causó una interrupción generalizada de los servicios sanitarios, lo que ilustra el importante impacto operativo de Conti.
Fuente: Ransomware.live
Método de ataque
Método de ataque del ransomware Conti
Conti utiliza diversas técnicas como phishing correos electrónicos, kits de exploits, sitios web comprometidos y credenciales robadas del protocolo de escritorio remoto (RDP ) para distribuir el ransomware. También utiliza botnets como BazarLoader y TrickBot para infiltrarse en los sistemas objetivo.
Utilizando herramientas como Cobalt Strikelos operadores de Conti aprovechan las vulnerabilidades y utilizan técnicas como la suplantación de identidad de tuberías con nombre (GetSystem) para obtener privilegios de SYSTEM.
Los atacantes desactivan Windows Defender mediante cambios en la directiva de grupo y emplean técnicas de ofuscación para ocultar la actividad maliciosa.
Conti utiliza herramientas como Mimikatz y Cobalt Strike para volcar credenciales y realizar el robo de tickets Kerberos (overpass-the-hash).
Los actores de amenazas ejecutan comandos utilizando herramientas como nltest, net.exe y dsquery para mapear el entorno de red.
El movimiento lateral se produce mediante conexiones SMB, PsExec y RDP, a menudo a través del punto de apoyo inicial.
El sitio malware busca archivos y directorios confidenciales, que luego se filtran a los servidores de los atacantes.
El ransomware se ejecuta en memoria utilizando herramientas como Cobalt Strike, cifrando archivos e inutilizando los sistemas.
Los datos se extraen utilizando las funciones de balizamiento de Cobalt Strikeo secuencias de comandos personalizadas a través de canales seguros.
Conti encripta archivos críticos y deja una nota de rescate, exigiendo el pago para desencriptar y evitar la exposición pública de los datos robados.
Acceso inicial
Conti utiliza diversas técnicas como phishing correos electrónicos, kits de exploits, sitios web comprometidos y credenciales robadas del protocolo de escritorio remoto (RDP ) para distribuir el ransomware. También utiliza botnets como BazarLoader y TrickBot para infiltrarse en los sistemas objetivo.
Escalada de privilegios
Utilizando herramientas como Cobalt Strikelos operadores de Conti aprovechan las vulnerabilidades y utilizan técnicas como la suplantación de identidad de tuberías con nombre (GetSystem) para obtener privilegios de SYSTEM.
Defensa Evasión
Los atacantes desactivan Windows Defender mediante cambios en la directiva de grupo y emplean técnicas de ofuscación para ocultar la actividad maliciosa.
Acceso con credenciales
Conti utiliza herramientas como Mimikatz y Cobalt Strike para volcar credenciales y realizar el robo de tickets Kerberos (overpass-the-hash).
Descubrimiento
Los actores de amenazas ejecutan comandos utilizando herramientas como nltest, net.exe y dsquery para mapear el entorno de red.
Movimiento lateral
El movimiento lateral se produce mediante conexiones SMB, PsExec y RDP, a menudo a través del punto de apoyo inicial.
Colección
El sitio malware busca archivos y directorios confidenciales, que luego se filtran a los servidores de los atacantes.
Ejecución
El ransomware se ejecuta en memoria utilizando herramientas como Cobalt Strike, cifrando archivos e inutilizando los sistemas.
Exfiltración
Los datos se extraen utilizando las funciones de balizamiento de Cobalt Strikeo secuencias de comandos personalizadas a través de canales seguros.
Impacto
Conti encripta archivos críticos y deja una nota de rescate, exigiendo el pago para desencriptar y evitar la exposición pública de los datos robados.
MITRE ATT&CK Cartografía
TTPs utilizados por el ransomware Conti
TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
TA0005: Defense Evasion
T1548
Abuse Elevation Control Mechanism
T1112
Modify Registry
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Detección de plataformas
Cómo detectar amenazas de ransomware como Conti con Vectra AI
Miles de empresas confían en las potentes detecciones basadas en inteligencia artificial para detectar y detener los ataques antes de recibir una nota de rescate.
Preguntas frecuentes
¿Qué es el ransomware Conti?
El ransomware Conti es una operación de ransomware como servicio que apareció en la escena de los ciberataques en 2019. Es un ransomware extremadamente dañino debido a la velocidad con la que cifra los datos y se propaga a otros sistemas.
¿Quién está detrás del ransomware Conti?
Conti fue desarrollado por la notoria banda rusa de ransomware Wizard Spider en 2019, y posteriormente fue utilizado por numerosos actores de amenazas como ransomware-as-a-service (RaaS).
¿Cómo funciona el ransomware Conti?
El ransomware Conti se distribuye mediante diversos métodos, como ataques dirigidos a phishing y RDP. Una vez dentro del sistema objetivo, utiliza tanto el cifrado de datos como la exfiltración para la doble extorsión: el atacante puede exigir el pago tanto para descifrar como para evitar la liberación de los datos robados.
¿A qué sectores se dirigen los ataques del ransomware Conti?
Conti es conocido por atacar infraestructuras y sistemas críticos de organismos públicos y grandes empresas de sectores como la sanidad y la industria manufacturera.
¿A qué países van dirigidos los ataques del ransomware Conti?
La mayoría de las víctimas del ransomware Conti se encuentran en Canadá y Estados Unidos, aunque también se han producido ataques notables en el Reino Unido.
¿Cuántas organizaciones se han visto afectadas por el ransomware Conti?
Más de 350 agencias y organizaciones fueron presa del ransomware Conti, pagando colectivamente cientos de millones en rescates.
¿Cuáles son las implicaciones de un ataque de ransomware de Conti?
Las víctimas del ransomware Conti han tenido que pagar millones de dólares no sólo para obtener las claves de descifrado, sino también para evitar la divulgación de datos confidenciales robados.
¿Cómo pueden las organizaciones detectar y detener los ataques del ransomware Conti?
Además de medidas preventivas como la autenticación multifactor y la formación en ciberseguridad de los empleados, las organizaciones pueden encontrar y detener los ataques de ransomware en una fase temprana de su progresión con detecciones impulsadas por IA.
¿Cómo se propaga el ransomware Conti?
Los ataques RaaS como Conti utilizan malware para infiltrarse en los sistemas, robar archivos, cifrar servidores de archivos y exigir el pago de rescates tanto por las claves de descifrado como para evitar la liberación de los datos robados.
¿Cuáles son las mejores formas de prevenir un ataque de ransomware Conti?
La mejor manera de prevenir ransomware como Conti es con detecciones basadas en IA para detectar los ataques en una fase temprana de su progresión.