Hallazgos sobre popular pandilla de ransomware Conti

Hallazgos sobre popular pandilla de ransomware Conti
  • La fórmula que utiliza el grupo Conti y que sigue funcionando es: cosechar credenciales, propagar y repetir, revela grupo de investigación de Akamai

(ITNOW)-.   Conti es uno de los grupos de ransomware más populares y despiadados que ha devastado a varias empresas por una suma de casi 200 millones de dólares. Así lo reveló el grupo de investigación de Akamai tras hacer una radiografía sobre este grupo cibercriminal.

Detallaron que contar con la documentación, que fue filtrada por uno de sus mismos miembros, puede ayudar en gran medida a las organizaciones a defenderse no solo de éste sino también de otros grupos de ransomware similares, afirmó el directivo.

Es por esto que los investigadores de seguridad de Akamai se dieron a la tarea de revisar y analizar esta documentación interna para comprender las herramientas y técnicas utilizadas por este moderno grupo de ransomware.

“En un esfuerzo por recopilar esta información, decidimos centrarnos en la documentación interna, que incluye pautas para los operadores sobre la selección de objetivos, la piratería y el uso de sus herramientas. Creemos que estos TTP y metodologías también deberían brindar información sobre otros operadores de ransomware, permitiéndonos ponernos en el lugar de estos atacantes, comprender sus formas de operar y preparar nuestras defensas en consecuencia”, dijo Ophir Harpaz, líder del equipo de investigación de seguridad de Akamai Technologies.

Ver más: 6 posibles riesgos de ciberseguridad que esconde el Metaverso

Añadieron que el ransomware persistió como el principal método de ataque observado en 2021, tanto a nivel mundial como en la región, representando el 29% de los ataques en América Latina con bandas de ransomware sin mostrar signos de detenerse, de acuerdo a un informe reciente de IBM.

Oswaldo Palacios, Senior Account Excecutive México & NOLA para Guardicore (ahora parte de Akamai), prevé que estás bandas criminales se fortalezcan cada vez más debido a lo redituable que resulta un ataque de ransomware.

Aunque todavía existe un gran desconocimiento sobre Conti y otros grupos de ransomware, estos documentos le han dado a la comunidad de seguridad una mirada de primera mano a una organización ciberdelincuente.

Entender el punto de vista del atacante se ha convertido en una prioridad. Al considerar a Conti como una operación de negocio cuya estrategia de comercialización se filtró, podemos actuar como sus competidores en cierto sentido, utilizando su propia propiedad intelectual en su contra.

Principales hallazgos de información filtrada del grupo Conti

  • Ninguna de las herramientas que utiliza Conti es particularmente novedosa. Los operadores de Conti tienen muchas herramientas y métodos que emplean para infectar y eventualmente cifrar las redes de destino, pero todos los conocemos. No son amenazas únicas de día cero, son TTP de “conocimiento común” que también emplean los equipos de respuesta en todas partes.
  • A pesar de esto, la filosofía de grupo Conti es “Si no está roto, no lo arregles”, como se dice popularmente. Esto respalda la idea de que los equipos de seguridad deben analizar detenidamente cómo abordan la defensa. Los días cero pueden aparecer en los titulares, pero los ataques fundacionales generan dinero.
  •  El dominio de la red es el objetivo. Por lo general, cuando se habla de ransomware, se pone más énfasis en el acto real de encriptación. Sin embargo, la verdad que los investigadores de Akamai quieren mostrar con este análisis es que hay un largo proceso que tiene que ocurrir antes de que pueda comenzar cualquier encriptación. Esta vez, la información está respaldada por la documentación real del operador de ransomware. Considerando la relación entre la documentación de piratería y la documentación de encriptación, queda claro que el principal problema es la piratería (filtración de la red, movimiento lateral y propagación, evitando la detección) en lugar de solo la encriptación y exfiltración de datos.

Este conocimiento demuestra que la superficie de detección que nosotros, como defensores, podemos emplear es mucho más amplia de lo que parece: solo necesitamos acercarnos y utilizarla.

Según Ophir Harpaz, líder del equipo de investigación de seguridad de Akamai Technologies, el hecho de que estos TTP no sean nuevos no los hace triviales; si lo fueran, no serían utilizados por uno de los grupos de ransomware activos más exitosos en la actualidad.

“Esta documentación y análisis respaldan que nosotros, como comunidad, debemos analizar el ransomware de manera más integral en lugar de solo el cifrado. Al centrarnos principalmente en el aspecto de cifrado del ransomware, nos estamos perdiendo una amplia superficie de detección que podría marcar la diferencia entre un incidente y un titular”, concluyó Harpaz.

Lo último: Telegram no es tan seguro, según dos estudios presentados en evento de ciberseguridad