Informe en vivo del ataque del ransomware Conti

8. Marzo 2021
| No hay comentarios
Conti ransomware en el informe en vivo

Compartir publicación

Cinco días de conocer de cerca el ransomware Conti: en tres informes, Sophos describe en detalle el proceso de un ataque real de ransomware Conti y cómo se detuvo. También se incluye: comportamiento de ataque, antecedentes técnicos y consejos prácticos para administradores de TI.

Los ataques de ransomware Conti, que han sido cada vez más dañinos desde mediados del año pasado, son un ejemplo impresionante de cómo los ciberdelincuentes utilizan tecnología moderna y sofisticada para planificar su ataque de manera específica y, por lo tanto, mejoran en gran medida sus posibilidades de penetrar con éxito en las redes corporativas. En tres informes detallados, el equipo de Sophos Rapid Response describe un ataque real y cómo se desarrolló durante cinco días: "Fue un ataque muy rápido y potencialmente devastador", dice Peter Mackenzie, gerente de Sophos Rapid Response. “Durante nuestra investigación forense, vimos que los atacantes aprovecharon las vulnerabilidades del firewall para comprometer la red y obtener acceso a los datos de administración del dominio en solo 16 minutos. Después de eso, los atacantes desplegaron Cobalt Strike Agents en los servidores que formarían la columna vertebral del ataque de ransomware”.

Atacante cibernético en vivo en el teclado

Lo especial de este ataque fue que los ciberdelincuentes lo controlaron ellos mismos y no dejaron todo en manos de una rutina automatizada. Con estos ataques controlados por humanos, los atacantes pueden adaptarse y reaccionar a situaciones cambiantes en tiempo real. Con tal flexibilidad, estos ataques tienen una mayor probabilidad de éxito y las víctimas no se sienten tranquilas solo porque se detectó y frustró un intento de ataque inicial. Porque entonces sucede lo que se describe en el siguiente diario de un ataque real de ransomware Conti, afortunadamente en este caso con un final feliz.

día de ataque 1

Los atacantes penetran el cortafuegos y solo necesitan 16 minutos para secuestrar la cuenta de administrador en dos de los servidores de la víctima. Luego, despliegan un Cobalt Strike Agent en el primer servidor hasta que la víctima detecta y detiene este ataque. Solo 15 minutos después, los atacantes repiten su acción en el segundo servidor y este ataque pasa desapercibido. Una vez que ponen el pie en la puerta, los atacantes se "cuelan" a través de la red corporativa de la víctima e infectan un tercer servidor.

día de ataque 2

La víctima no nota ninguna actividad de ataque.

día de ataque 3

Los atacantes buscan alrededor de diez horas en busca de carpetas de archivos con información potencialmente interesante y las extraen utilizando la herramienta legítima de gestión de código abierto RClone, que se instaló sin ser notada en el tercer servidor secuestrado. Entre otras cosas, los datos de los departamentos de finanzas, recursos humanos y TI se ven afectados.

día de ataque 4

Usando lo que aprendieron sobre la estructura del punto final y del servidor desde el día 1, los atacantes primero instalaron un agente Cobalt Strike en un cuarto servidor para probar el ransomware. Después del mensaje de éxito, instalan Cobalt Strike en casi 300 dispositivos y, después de otros 40 minutos, lanzan el ransomware Conti. Los puntos finales comprometidos cargan el código desde diferentes direcciones de comando y control y lo ejecutan. Lo pérfido de esto: no se escriben datos en los discos duros, pero el ransomware se ejecuta directamente en la memoria principal para evitar la detección. Luego, el ransomware intenta cifrar los datos durante tres horas, pero se bloquea en las computadoras protegidas con Sophos Intercept X a pesar de las tácticas de ofuscación. La empresa atacada corta la conexión a Internet a excepción de la aplicación de Sophos, apaga la infraestructura crítica y detiene los procesos de trabajo. Se llama al equipo de respuesta rápida de Sophos, identifica los puntos finales y servidores infectados, detiene los diversos procesos de ataque y comienza a restaurar las áreas comprometidas.

día de ataque 5

La investigación final realizada por el Grupo de trabajo de respuesta rápida identifica una segunda posible filtración de datos, una segunda cuenta comprometida y tráfico RDP (Protocolo de escritorio remoto) sospechoso a través del firewall vulnerable. Al mismo tiempo, la víctima restaura los puntos finales no seguros y arranca la infraestructura crítica.

La moraleja de la historia

A menudo, son los administradores de TI quienes están en la línea de fuego directa en un ataque de ransomware. Son los que vienen a trabajar por la mañana y encuentran todo encriptado con una nota de rescate. Basándose en la experiencia de su equipo de respuesta rápida, Sophos ha desarrollado una lista de acciones para afrontar mejor las primeras horas y días difíciles después de un ataque de ransomware.

  • Desactive el Protocolo de escritorio remoto (RDP) en Internet para evitar que los ciberdelincuentes accedan a las redes.
  • Si el acceso a RDP es absolutamente necesario, debe protegerse a través de una conexión VPN.
  • Las medidas de seguridad de múltiples capas, incluidas las funciones de detección y respuesta de punto final (EDR) y los equipos de respuesta administrados para el monitoreo de las redes las 24 horas, los 7 días de la semana, previenen los ataques y desempeñan un papel clave en la protección y detección de los ataques cibernéticos.
  • Monitoreo constante de indicadores principales conocidos que a menudo preceden a los ataques de ransomware.
  • Creación de un plan de respuesta a incidentes, el cual debe estar continuamente actualizado con los cambios en la infraestructura TI y la empresa.
  • Expertos externos con mucha experiencia pueden ofrecer una excelente asistencia.

Tres informes de ransomware Conti de Sophos

En los tres informes de Sophos, el ataque del ransomware Conti se describe desde diferentes perspectivas y se dan instrucciones concretas para actuar en caso de ataque. Los informes en inglés se pueden descargar desde los siguientes enlaces:

Momento de un ataque de ransomware Conti:

Un ataque de Conti Ransomware día a día

Informe técnico de SophosLabs sobre la naturaleza evasiva del ransomware Conti:

Conti Ransomware: evasivo por naturaleza

Instrucciones que incluyen una lista de verificación de 12 puntos para que los administradores de TI enfrenten un ataque:

Qué esperar cuando te atacan Conti Ransomware

Más información en Sophos.com

 

Acerca de Sophos

Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

Seguridad informática: base para LockBit 4.0 desactivada

Trend Micro, en colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, analizó la versión inédita que estaba en desarrollo. ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Sophos, Stories
, , , ,