Fecha de publicación: Vie, 29/04/2022 - 17:02

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

Conti es un malware que pertenece a la familia de los ransomware. Fue visto por primera vez en octubre y diciembre de 2019 y opera como un Ransomware as a Service (RaaS). Esto significa que los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliados, que son quienes se ocupan de la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates.

Conti suele utilizar la modalidad doble extorsión, también conocida como doxing, que consiste en exfiltrar información confidencial de sus víctimas previo al cifrado para luego extorsionarlas amenazándolas con publicar información exfiltrada a menos que paguen el monto de dinero exigido. De esta forma aumentan la presión, ya que no solo se trata de recuperar los archivos cifrados, sino también de evitar una posible brecha de información que podría perjudicar a la víctima de diversas maneras; por ejemplo, dañando su reputación. Esta modalidad se observó por primera vez en 2019 con el ransomware Maze y rápidamente fue adoptada por otras bandas criminales.

Medios de propagación

Conti es capaz de obtener acceso inicial sobre las redes de sus víctimas a través de distintas técnicas. Como ser:

  • Campañas de phishing
  • Explotación de vulnerabilidades
  • Ataques sobre equipos con el servicio de RDP expuesto a internet

Recomendaciones

Se recomienda adoptar las siguiente medidas preventivas para evitar o minimizar el riesgo de ataque de ransomware:

  • Hacer copias de seguridad (backups) de la información considerada crítica de manera periódica.
  • Mantener los equipos actualizados, tanto el Sistema Operativo como aplicaciones que se utilicen.
  • Deshabilitar el RDP cuando no sea necesario.
  • Separar la red de servidores de la red de usuarios.
  • No abrir archivos adjunto ni enlaces en un correo si no conoces a la persona que lo envió.
  • Capacitar al personal de la entidad sobre los riesgos de internet

Ante un ataque de ransomware, ya sea Conti u otra familia, no se recomienda pagar por el rescate de los archivos afectados. Por un lado, porque no hay certeza de que los cibercriminales entreguen el descifrador para recuperar los archivos una vez realizado el pago; y por otro lado, porque en caso de pagar estaríamos contribuyendo a que el cibercrimen crezca y que este tipo de ataques siga siendo rentable para ellos. Ante esto es importante tomar acciones preventivas.

Referencias

Nueva campaña de difusión de ramsomware con Conti