Ransomware Conti: el sucesor de Ryuk

El 14 de mayo, el Health Service Executive (HSE), el sistema de salud financiado con fondos públicos de Irlanda, fue víctima de un ataque de ransomware Conti, lo que obligó a la organización a cerrar más de 80.000 terminales afectados y los devolvió a la era del lápiz y el papel. Más de 290 organizaciones de atención médica y de primeros auxilios (de las 400 afectadas en todo el mundo) que fueron víctimas de un ataque de ransomware Conti tenían su sede en EE.UU. Nueva Zelanda también informó que al menos 5 hospitales cerraron su red de TI en respuesta a un ataque similar. En este post, nos centraremos en Conti, la cepa identificada por algunos como sucesora, prima o pariente del ransomware Ryuk, debido a las similitudes en el uso del código y las tácticas de distribución.

¿Qué es el ransomware Conti?

Conti ransomware es una variante de Ransomware-as-a-Service (RaaS). La variante de ransomware Conti se detectó por primera vez en diciembre de 2019, y su prominencia aumentó en el verano de 2020.

Vinculados a los desarrolladores de Ryuk, los operadores de Conti suelen dirigirse a las redes corporativas. Conti ransomware se propaga lateralmente hasta que adquiere las credenciales administrativas del dominio. Conti puede cifrar archivos rápidamente gracias a su función de propagación automática. El ransomware Conti es comúnmente distribuido por el troyano TrickBot o Emotet.

Los operadores de Conti utilizan múltiples cálculos simultáneos para acelerar la ejecución del ataque. Conti no es el único ransomware que utiliza tácticas de subprocesos múltiples. Sin embargo, se ha descubierto que Conti es más rápido que muchas variantes debido a su uso de 32 subprocesos simultáneos.

Se sospecha que los operadores de ransomware Conti son piratas informáticos experimentados que distribuyen el ransomware a cambio de una parte significativa del importe del rescate.

Este comportamiento es una indicación más de que Conti es ejecutado manualmente por sus operadores. Conti también se puede ejecutar sin interacción, ejemplificado en los intentos de cifrar todos los archivos accesibles.

Conti ransomware a menudo limita su cifrado a particiones del servidor sin capacidad de Internet. Esta táctica permite que el ransomware Conti permanezca sin ser detectado en el entorno. Esta es una característica exclusiva de Conti ransomware; la mayoría de las variantes de ransomware muestran signos de destrucción en varios sistemas.

Conti se considera un tipo de ransomware más sofisticado porque es un ransomware de «doble extorsión». En otras palabras, cuando el ransomware tradicional encripta archivos en una computadora o sistema y luego los desbloquea cuando se paga un rescate, Conti también extrae los datos. Como resultado, los datos robados se pueden usar para exigir un rescate adicional a cambio de no publicar los datos en la web oscura.

Conti es un virus operado por humanos, lo que significa que en lugar de abrirse camino automáticamente en un sistema, puede ser manipulado por humanos.

Origen y evolución

Los expertos en ciberseguridad detectaron la primera versión de Conti el 29 de mayo de 2020, que consistía en un archivo ejecutable de forma independiente con la extensión .conti. Por instrucción de un servidor de comando y control, esta versión proliferó en todo el sistema de destino a través de SMB. El ransomware a menudo usa otras herramientas para obtener el control de una red, pero muy pocas pueden propagarse por sí mismas como lo hace Conti.

La segunda versión de Conti se lanzó el 9 de octubre, que consistía en el archivo ejecutable, cargador y biblioteca de vínculos dinámicos (DLL). Los cambios más notables en esta versión incluyeron la amenaza de publicar los datos de las víctimas si no pagaban el rescate. También incluyó mejoras técnicas como cambiar la extensión del ejecutable después de cada ataque y usar menos URL. Además, esta versión de Conti no requirió instrucciones para comenzar a proliferar.

La versión tres de Conti se detectó el 6 de noviembre, y los cambios más significativos incluyen un depurador de Python y más URL.

Se cree que el ransomware Conti lo ejecuta un grupo de ciberdelincuencia con sede en Rusia conocido como Wizard Spider. Este grupo utiliza ataques de phishing para instalar troyanos TrickBot y BazarLoader que brindan acceso remoto a las máquinas infectadas. Luego, usa este acceso remoto para propagarse lateralmente a través de la red mientras roba credenciales y recopila datos no cifrados que se almacenan en estaciones de trabajo y servidores. Una vez que han robado todo lo que tiene valor y obtenido acceso a las credenciales de dominio de Windows, esperan. Durante este tiempo, permanecerán sin ser detectados, hasta que ataquen e implementen el ransomware en la red para cifrar todos los dispositivos. La pandilla Conti luego usa los datos robados como palanca para obligar a la víctima a pagar el rescate.

¿Qué técnicas de extorsión emplea?

Al igual que Ryuk, el ransomware Conti es particularmente amenazante para las corporaciones y organizaciones que operan una infraestructura de red grande y compleja. Si bien tiene similitudes con el código fuente y el modus operandi de Ryuk, Conti es más inteligente, más rápido y más rápido en el cifrado de datos mientras cierra redes enteras. La conexión entre Ryuk y Conti está respaldada por el hecho de que los ataques de Conti aumentan a medida que disminuyen los ataques de Ryuk.

Estas son las técnicas que utiliza el malware Conti para propagarse.

Propagación y cifrado

Los ataques que utilizan la última versión del malware comienzan con el ejecutable independiente o el cargador que introduce una DLL de la sección de recursos y luego la ejecuta. Los siguientes pasos son:

• El cargador descifra la carga útil mediante una clave codificada y la carga en la memoria.
• Una vez que se carga la DLL, Conti inicia sus rutinas de cifrado y difusión. El ransomware escanea la red en busca de SMB (puerto 445). Si encuentra carpetas compartidas a las que pueda acceder, también intentará cifrar los archivos en las máquinas remotas.
• Se utiliza una técnica rápida de subprocesos múltiples para cifrar los archivos, lo que lleva unos minutos completar esta tarea.

Si tus datos están encriptados por el ransomware Conti, notarás una extensión diferente adjunta a cada archivo. Estas extensiones tienen entre 5 y 8 caracteres y se generan aleatoriamente.

El ransomware se ejecuta manualmente en la memoria en todos los puntos finales activos, después de que se hayan extraído tantos archivos como sea posible. Luego, los archivos se retienen para obtener un rescate y la víctima se ve amenazada por la pérdida de datos, debido al cifrado y la filtración de los datos extraídos. Los archivos se cifran con una combinación de AES-256 y RSA-4096 a través de Microsoft CryptoAPI. Las versiones anteriores agregaron la .CONTIextensión a los archivos cifrados. Las versiones más nuevas ahora agregan una cadena aleatoria de 5 caracteres.

El cifrado AES 256 / RSA 4096 junto con 32 subprocesos de cifrado simultáneos utilizados para cifrar archivos a velocidades insuperables es lo que lo convierte en un malware extremadamente peligroso para organizaciones de tamaño mediano a grande. Esto significa que el ransomware Conti puede cifrar una red completa mucho más rápido que la mayoría de las otras variedades de ransomware existentes, lo que dificulta su detección y detención antes de que interrumpa las operaciones.

Nota de rescate

También encontrarás una nota de rescate de Conti como un archivo .TXT ubicado en cada carpeta en tu computadora README.TXT.

La nota de rescate de Conti proporciona a la víctima instrucciones sobre qué hacer a continuación si desea que se descifren sus archivos. Cada nota de rescate de Conti incluye:

• Identificación de clave única necesaria para acceder al portal Tor y asociada con extensiones de archivo cifradas en tu computadora
• Dirección del portal del navegador Tor

Si deseas recuperar tus datos, es importante que no elimines la nota del ransomware Conti, ya que esta información se utilizará durante el proceso de recuperación del ransomware.

¿Qué tipo de empresas están siendo atacadas por Conti?

El FBI dice que un grupo de criminales detrás del ransomware Conti ha atacado a más de 400 organizaciones en todo el mundo, 290 de las cuales están en Estados Unidos. Esto incluye instalaciones de salud, comunidades y la fuerza policial. HSE, el proveedor de atención médica nacional de Irlanda, se infectó recientemente con el ransomware Conti, que afectó los servicios para pacientes. HSE (Health Service Executive) fue obligado a cerrar la totalidad de sus sistemas informáticos. Esto provocó una interrupción generalizada en el sistema de salud de Irlanda, lo que ha provocado un acceso limitado a los registros médicos y diagnósticos y tiempos de respuesta lentos. El grupo exige hasta 25 millones de euros para cifrar los archivos.

Para acceder a las redes de las víctimas, Conti Team utiliza métodos bien conocidos, como enlaces en mensajes de correo electrónico que apuntan a malware, enlaces de correo electrónico de víctimas y credenciales RDP robadas. En promedio, los atacantes pasan de cuatro a tres semanas en la red antes de lanzar ransomware.

Diferencias entre Conti y Ryuk

La aparición de este nuevo ransomware, llamado Conti, se correspondió con una disminución observada en las implementaciones de Ryuk. Esto sugirió que Conti es el «sucesor» de Ryuk. Algunos medios de comunicación también han informado que Conti era una versión evolucionada de Ryuk, lo que sugiere que ha evolucionado a partir del código fuente de RYUK. Si bien esto puede haber sido cierto para muestras muy tempranas, un análisis de muestras recientes de Conti y Ryuk cuenta una historia diferente. Como mostraremos, ambos comparten capacidades que son comunes con otros ransomware, y existen diferencias significativas en la implementación a nivel de código de máquina.

RYUK y CONTI comparten capacidades similares solo en el nivel más básico. Estas características también son comunes a otras cepas de ransomware:

• Cifrado de archivos AES-256 con cifrado RSA de claves AES
• Cifra archivos almacenados en recursos compartidos de red y unidades locales
• Deshabilita los servicios de respaldo y del sistema operativo que podrían facilitar la recuperación de datos

CONTI se diferencia de RYUK en varios aspectos fundamentales:

• Las claves RSA se almacenan dentro del binario ransomware en formato de estructura Microsoft RSAPUBKEY
• Cifrado paralelo logrado mediante CreateThread API
• Se crea el mutex del marcador de tiempo de ejecución _CONTI_ que, si está presente, hace que las muestras terminen sin ejecutar la carga útil. RYUK no contiene ningún marcador de infección.
• Las notas de rescate son muy diferentes. Sin embargo, el atacante puede personalizarlos fácilmente.
• Las importaciones de DLL de Windows se ocultan y se resuelven manualmente en tiempo de ejecución mediante LoadLibrary y GetProcAddress. Todas las importaciones de DLL de RYUK son claramente visibles en la tabla de direcciones de importación del binario.

¿Cómo protegerse frente a este ransomware?

Aquí tienes unos consejos para protegerte del ransomware Conti:

• Supervisa la seguridad de tu red 24 horas al día, 7 días a la semana y estate al tanto de los primeros indicadores de ataque
• Cierra el protocolo de escritorio remoto orientado a Internet para denegar el acceso de los ciberdelincuentes a las redes. Si necesitas acceso a RDP, colócalo detrás de una conexión VPN y haz cumplir el uso de la autenticación multifactor (MFA)
• Educa a los empleados sobre lo que deben tener en cuenta en términos de phishing y spam malicioso.
• Introducir políticas de seguridad sólidas
• Mantén copias de seguridad periódicas de tus datos más importantes y actuales en un dispositivo de almacenamiento fuera de línea. La recomendación estándar para las copias de seguridad es seguir el método 3-2-1: 3 copias de los datos, usando 2 sistemas diferentes, 1 de los cuales está fuera de línea.
• Evita que los atacantes accedan y deshabiliten tu seguridad: elige una solución avanzada con una consola de administración alojada en la nube con autenticación multifactor habilitada y administración basada en roles para limitar los derechos de acceso.
• Elabora un plan de respuesta a incidentes eficaz y asegúrate de que esté actualizado.

Si te ves afectado, recomendamos que se tomen las siguientes acciones de inmediato:

Lo primero que debes hacer es determinar si el ataque aún está en curso. Si sospechas que si y no tienes las herramientas para detenerlo, determina qué dispositivos se han visto afectados y aíslalos de inmediato. La opción más sencilla es simplemente desenchufar el cable de red o apagar el adaptador Wi-Fi. Si el daño es más extenso que unos pocos dispositivos, considera hacerlo en el nivel del conmutador y desconectar segmentos completos de la red en lugar de dispositivos individuales. Solo apaga los dispositivos si no puedes desconectar la red.

Eliminar Conti del equipo

Conti utiliza una clave de cifrado AES-256 por archivo. Luego, tus archivos se cifran con una clave de cifrado pública RSA-4096 incluida. Esta clave RSA es única por víctima. El algoritmo de cifrado de Conti es demasiado fuerte para romperlo. Además, actualmente no hay fallas conocidas en el malware que se puedan utilizar con los esfuerzos de restauración de datos.

Esto deja a las víctimas de Conti con la única opción de considerar pagar el rescate para obtener la clave de descifrado y desbloquear sus archivos.

Al igual que con muchas variantes de ransomware, es posible que podamos ayudar a restaurar ciertos tipos de archivos sin pagar el rescate.

Estas son las opciones que tienes para eliminar el ransomware Conti del equipo y recuperar los datos.

Utiliza Malwarebytes Free para eliminar CONTI ransomware

Malwarebytes Free es uno de los programas anti-malware más populares y utilizados para Windows, y por buenas razones. Es capaz de destruir muchos tipos de malware que otros programas tienden a pasar por alto, sin que te cueste absolutamente nada. A la hora de limpiar un dispositivo infectado, Malwarebytes siempre ha sido gratuito y lo recomendamos como herramienta imprescindible en la lucha contra el malware.

Es importante tener en cuenta que Malwarebytes Free se ejecutará junto con el software antivirus sin conflictos.

• Descarga Malwarebytes Gratis
• Haz doble clic en el archivo de instalación de Malwarebytes. Cuando Malwarebytes haya terminado de descargarse, haz doble clic en el archivo MBSetup para instalar Malwarebytes en tu computadora. En la mayoría de los casos, los archivos descargados se guardan en la carpeta Descargas.
• Sigue las instrucciones en pantalla para instalar Malwarebytes. Cuando comiences la instalación de Malwarebytes, verás el asistente de configuración de Malwarebytes que te guiará a través del proceso de instalación. El instalador de Malwarebytes primero te preguntará en qué tipo de computadora estás instalando este programa, haz clic en Computadora personal o Computadora de trabajo. En la siguiente pantalla, haz clic en » Instalar » para instalar Malwarebytes en tu computadora. Cuando se completa la instalación de Malwarebytes, el programa se abre en la pantalla Bienvenido a Malwarebytes. Haz clic en el botón «Comenzar».
• Selecciona «Usar Malwarebytes Free». Después de instalar Malwarebytes, te pedirá que selecciones entre la versión gratuita y la premium. La edición Malwarebytes Premium incluye herramientas preventivas como escaneo en tiempo real y protección contra ransomware, sin embargo, usaremos la versión gratuita para limpiar la computadora. Haz clic en «Usar Malwarebytes Free».
• Haz clic en «Escanear». Para escanear tu computadora con Malwarebytes, haz clic en el botón «Escanear». Malwarebytes actualizará automáticamente la base de datos antivirus y comenzará a escanear tu computadora en busca de malware.
• Espera a que se complete el análisis de Malwarebytes. Este proceso puede tardar unos minutos, por lo que te sugerimos que hagas algo más y compruebes periódicamente el estado del análisis para ver cuándo ha finalizado.
• Haz clic en «Cuarentena». Cuando se complete el análisis, te presentará una pantalla que muestra las infecciones de malware que Malwarebytes ha detectado. Para eliminar los programas maliciosos que ha encontrado Malwarebytes, haz clic en el botón «Cuarentena».
• Reinicia la computadora. Malwarebytes ahora eliminará todos los archivos maliciosos y claves de registro que haya encontrado. Para completar el proceso de eliminación de malware, Malwarebytes puede pedirte que reinicies tu computadora.

Utiliza Emsisoft Emergency Kit para buscar malware y programas no deseados

Emsisoft Emergency Kit es un escáner de segunda opinión gratuito que se puede usar sin instalación para escanear y limpiar computadoras infectadas. Emsisoft analiza el comportamiento de los archivos activos y también los archivos en ubicaciones donde el malware normalmente reside en busca de actividad sospechosa.

• Descarga Emsisoft Emergency Kit.
• Instala el kit de emergencia Emsisoft.
• Inicia el kit de emergencia Emsisoft. En tu escritorio, la carpeta «EEK» ( C: \ EEK ) debería estar ahora abierta. Para iniciar Emsisoft, haz clic en el archivo «Iniciar Emsisoft Emergency Kit» para abrir este programa.
• Haz clic en «Escaneo de malware». Emsisoft Emergency Kit se iniciará y te pedirá permiso para actualizarse. Una vez que se complete el proceso de actualización, haz clic en la pestaña «Escanear». Emsisoft Emergency Kit ahora escaneará tu PC en busca de archivos maliciosos. Este proceso puede tardar unos minutos.
• Haz clic en «Cuarentena seleccionada». Cuando finalice el análisis de Emsisoft, te presentará una pantalla que informa qué archivos maliciosos se detectaron en tu computadora. Para eliminar los programas maliciosos, haz clic en «Cuarentena seleccionada». Cuando se complete el proceso de eliminación de malware, es posible que Emsisoft Emergency Kit deba reiniciar tu computadora. Haz clic en el botón » Reiniciar » para reiniciar la computadora.

Restaurar los archivos cifrados por CONTI ransomware

El descifrador de Conti es una utilidad sencilla que tiene una consola de comandos como interfaz.

Estos son los pasos para ejecutar la herramienta de descifrado de Conti :

• Asegúrate de que el descifrador no contenga código malicioso (una empresa de recuperación de ransomware debería poder ayudarte con esto).
• Desactiva el software antivirus en la máquina desde la que ejecutará la herramienta. Esto incluye Microsoft Defender.
• Asegúrate de conectar todos los dispositivos con archivos cifrados al sistema desde el que ejecutará el descifrador. Esto incluye mapear recursos compartidos de red y conectar discos duros externos.
• Haz clic con el botón derecho en el archivo ejecutable de descifrado y ejecútalo como administrador
• La consola de descifrado aparecerá e iniciará el proceso de descifrado inmediatamente. Comenzará a revisar todos los dispositivos conectados al sistema y a descifrar los archivos cifrados que encuentre. A diferencia de otros descifradores de ransomware, la herramienta no tiene una barra de progreso ni enumera los archivos que descifra.
• Cuando finalice el proceso, el descifrador se cerrará automáticamente.