Los atacantes detrás de Conti publicaron datos robados de al menos 180 empresas

Recomendados:  Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar  Transacciones electrónicas europeas: cumpliendo con eIDAS Webinar

El ransomware Conti, un ataque de cifrado de datos y solicitud de rescates que se ejecuta de forma manual por los ciberdelincuentes y que utiliza técnicas de doble extorsión sobre sus víctimas, es tristemente noticia por el elevado número de ataques confirmados. Concretamente, los investigadores de Sophos han identificado que los atacantes tras el ransomware Conti han publicado datos robados de al menos 180 organizaciones en los últimos 6 meses, una amenaza global que afecta principalmente a empresas de Norteamérica y Europa Occidental.

Desde su primera aparición, los investigadores asumieron que Conti era el sucesor de Ryuk aunque se ha identificado una diferencia crucial en el grupo criminal que está detrás del ransomware Conti. Tras acceder a las redes empresariales, los atacantes detrás de Conti roban los datos de sus objetivos antes de cifrarlos y después amenazan con publicar la información robada en la página web “Conti News” si la empresa no paga el rescate.

Con la información publicada por los ciberdelincuentes en el sitio “Conti News”, Sophos ha creado un perfil victimológico para identificar qué tipo de empresas están siendo atacadas por esta familia de ransomware. A pesar de que este tipo de ataques pueden dirigirse a empresas de cualquier sector, las empresas más atacadas hasta ahora por el ransomware Conti pertenecen a los sectores de retail (26), industria (25), construcción (20) y administraciones públicas (14).

“En ataques dirigidos en los que hay personas a los mandos, los adversarios pueden adaptarse y reaccionar a situaciones cambiantes en tiempo real” afirma Peter Mackenzie, Manager en Sophos Rapid Response. “En el caso del último ataque del ransomware Conti identificado por Sophos, los atacantes accedieron simultáneamente a dos servidores. El equipo de TI de la empresa atacada detectó el ataque y desactivó uno de los servidores, creyendo que habían parado el ataque a tiempo. Sin embargo, los ciberdelincuentes simplemente cambiaron de servidor y continuaron su ataque desde el segundo servidor vulnerado. Tener un ‘Plan B’ es un enfoque habitual en los ciberataques dirigidos por personas y sirve como recordatorio de que, solo porque una actividad sospechosa en nuestra red se detenga, no significa que el ataque haya terminado”.

Basado en su experiencia, los expertos en detección y respuesta frente a amenazas de Sophos han elaborado una lista de acciones básicas para ayudar a los responsables de TI en las primera horas y días de un ataque de ransomware como Conti:

--Apagar el Protocolo de Escritorio Remoto (RDP) conectado a Internet para impedir que los cibercriminales accedan a las redes

--Si se necesita acceder a un RDP, hacerlo a través de una conexión VPN

--Aplicar una política de seguridad por capas para prevenir, proteger y detectar ciberataques, incluyendo las capacidades de detección y respuestas en endpoints (EDR) y equipos de respuesta gestionada frente a incidentes de seguridad, que vigilan las redes empresariales 24/7.

--Contar con un plan eficaz de respuesta a incidentes y actualízalo cuando sea necesario.