Conti, un ransomware sucesor de Ryuk que ataca a redes corporativas

  • Endpoint

Al igual que otras infecciones de ransomware en esta categoría, los operadores de Conti acceden a las redes corporativas y se extienden lateralmente hasta obtener credenciales de administrador. Una vez logradas, los atacantes implementan el ransomware para cifrar los dispositivos.

Recomendados: 

Decálogo de ciberseguridad para empresas Leer 

Movilidad e IoT, la nueva frontera de la ciberseguridad Webinar ondemand

El ransomware Conti es una amenaza emergente dirigida a redes corporativas que presenta nuevas características que le permiten realizar ataques más rápidos y específicos. También hay indicios de que este ransomware comparte el mismo código que Ryuk, que se ha ido desvaneciendo lentamente, mientras que la distribución de Conti está aumentando.

El ransomware fue visto por primera vez en ataques aislados a finales de diciembre de 2019. Con el tiempo, los ataques aumentaron lentamente, hasta finales de junio, cuando se registró un aumento de las víctimas. Al igual que otras infecciones de ransomware en esta categoría, los operadores de Conti acceden a las redes corporativas y se extienden lateralmente hasta obtener credenciales de administrador de dominio. Una vez que se logran los privilegios administrativos, los atacantes implementan el ransomware para cifrar los dispositivos. No se sabe si los operadores de Conti también roban archivos de las redes de sus víctimas antes de encriptarlos. La demanda de rescate para este ransomware es inferior a 100.000 dólares, una cantidad relativamente baja en comparación con otras infecciones de ransomware similares.

En un informe de Carbon Black, los investigadores proporcionan información sobre algunas de las características interesantes que se encuentran en Conti. Según los investigadores, cuando se implementa, el ransomware prepara el ordenador para el cifrado al detener 146 servicios de Windows relacionados con soluciones de seguridad, backup, bases de datos y correo electrónico. El ransomware borrará las copias de Shadow Volume y comenzará a cifrar el equipo, y al hacerlo, agregará la extensión .CONTI a los archivos encriptados y colocará una nota de rescate llamada CONTI_README.txt en cada carpeta.

Carbon Black señala que, al encriptar un dispositivo, Conti usará múltiples vías para encriptar diferentes archivos simultáneamente. Si bien el ransomware multiproceso no es nuevo, el uso de 32 procesos es algo novedoso, y permite que el ransomware cifre una máquina a velocidades muy rápidas.