La noticia de los ataques de ransomware por parte del grupo de hackers Conti, para uno de los países víctimas como Costa Rica, ha sido un tema complicado a nivel de contención e incidentes y ha puesto en marcha también muchos grupos de especialistas en ciberseguridad. Este grupo de ransomware moderno ha atacado y robado información importante de diferentes entes gubernamentales Costarricenses.
Los actores de la ciberamenaza Conti siguen activos y los ataques de ransomware Conti denunciados contra organizaciones estadounidenses e internacionales han aumentado a más de 1.000. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y la Oficina Federal de Investigación (FBI) han observado el aumento del uso del ransomware Conti en más de 400 ataques a organizaciones estadounidenses e internacionales. Es una banda con unos ingresos previstos de casi 200 millones de dólares y está considerada como una de las bandas de ransomware (programa extorsivo) más exitosas del mundo. Se detectó por primera vez en 2020 y parece tener su sede en Rusia. Se cree que el grupo es el sucesor del grupo de ransomware Ryuk. Según la empresa Chainalysis, que se desenvuelven en el área de las criptomonedas, el grupo de ransomware fue el más rentable de todos los grupos de ransomware en 2021, con unos ingresos estimados de al menos 180 millones de dólares.
El 27 de febrero de 2022 se creó el usuario de Twitter @contileaks, que comenzó a filtrar documentos internos y registros de chat del grupo, así como las direcciones de algunos de sus servidores internos y el código fuente. Está ampliamente aceptado en la comunidad que fue un miembro interno quien filtró los documentos tras una disputa por el apoyo público del grupo al gobierno ruso durante el conflicto ruso-ucraniano, pero la persona que está detrás de la cuenta de Twitter contileaks afirma ser un investigador ucraniano independiente.
El grupo se especializa en el “malware” Ransomware como servicio (RaaS). Con este tipo de ataque, se busca sustraer información de los sistemas, de bases de datos y de servidores de empresas (generalmente), encriptarla de manera muy compleja y exigir un rescate de la misma por un monto ecónomico.
Así lo informa la CISA, “En los ataques típicos del ransomware (programa extorsivo) Conti, los ciberdelincuentes roban archivos y documentos de servidores, para luego exigir el pago de un rescate”. En otro informe elaborado por la División Cibernética del FBI se explica que, “Como la mayoría de las variantes de ransomware, Conti normalmente roba los archivos de las víctimas y encripta los servidores y ordenadores de los lugares atacados como medio para forzar el pago de un rescate (...) Si no se paga el rescate, los datos robados se venden o son publicado en un sitios controlado por Conti”.
En un análisis un poco más profundo en el caso del ataque costarricense, el grupo ha obtenido gran cantidad de gigabytes de información de las bases de datos de varias entidades. El especialista y fundador de la empresa de seguridad informática WhiteJaguars, comentó que Conti, mediante el uso de diferentes técnicas, busca que la víctima descargue un “software malicioso" dentro de los sistemas de la organización para luego sacar la información usada en las extorsiones. También por parte de la empresa de tecnologías Akamai se ha analizado que el grupo utilza Tácticas, Técnicas y Procedimientos (TTPs) concretos e Indicadores de Compromiso (IoC). Son escenarios de ataque multifacéticos y están orientados al detalle. Han encontrado una fórmula que sigue funcionando: cosechar credenciales, propagar, repetir.
Según algunos reportes, Conti es capaz de obtener acceso inicial sobre las redes de sus víctimas a través de distintas técnicas. Por ejemplo:
Campañas de phishing especialmente dirigidas que contienen documentos adjuntos maliciosos (como un archivo Word) o enlaces. Estos adjuntos descargan malware como TrickBot, Bazar backdoor o incluso aplicaciones legítimas como Cobalt Strike que son utilizadas de forma maliciosa para realizar movimiento lateral dentro de la red de la víctima y luego descargar el ransomware.
Explotación de vulnerabilidades conocidas sobre equipos que están expuestos a Internet.
Ataques sobre equipos con el servicio de escritorio remoto expuesto a Internet.
La documentación de los ataques muestra un fuerte enfoque en la propagación de la red "con las manos en el teclado" - insinuando la necesidad de fuertes protecciones contra el movimiento lateral (recolección de información y escaneo, acceso y escalamiento de privilegios, exfiltración, sostenimiento, asalto y ofuscación) y su papel crítico en la defensa contra el ransomware. Las TTPs son técnicas bien conocidas, pero muy eficaces.
Como se ha mencionado, se supone que un operador tiene acceso a una máquina de la red. Su objetivo es entonces comenzar a propagarse por la red, primero intentando volcar y descifrar las contraseñas o por fuerza bruta. A continuación, se instruye al operador para que utilice las credenciales en la siguiente máquina, ampliando su alcance, y luego repita el primer paso. Asimismo, se enseña a los operadores que el cifrado no comienza hasta que se ha alcanzado el dominio de la red, lo que garantiza que el impacto sea máximo.
De nuevo en específico con los ataques de este caso, parece ser que no son solo ataques a los sitios web de estos institutos, sino que además parecen ser ataques en masa con el objetivo de dejar a los servidores inservibles. Se dice que las copias de la información privada del Ministerio de Hacienda de Costa Rica, según el grupo Conti, estaban colocadas localmente y al acceder a los servidores ellos encriptaron la información. Esto quiere decir que alrededor del 70% de la insfraestructura del Ministerio no la podrían recuperar, según el grupo. Esto también se da por una cierta negligencia del gobierno costarricense en la inversión y renovación de sistemas de seguridad par las instituciones públicas. Se ha reportado que algunos de los sistemas del Ministerio de Hacienda están utilizando equipo de Microsoft con más de 10 años de de uso al cual incluso es una complicación darles mantenimiento por lo obsoletos que pueden estar.
Para lograr sus objetivos de infiltración y propagación en la red, Conti emplea varias herramientas, la mayoría de las cuales no son de su propiedad. De hecho, sólo el software de cifrado, el troyano y el inyector de malware parecen ser propios, pero para el movimiento lateral, la propagación y la exfiltración, Conti parece utilizar un exceso de herramientas que deberían ser familiares para cualquiera de los equipos rojos y azules del área de ciberseguridad.
Las siguientes son algunas de las herramientas y técnicas utilizadas por el grupo:
Para ataque: Cobalt Strike y Trickbot.
Para movimiento lateral: PSExec, EternalBlue, entre otras.
Para escalación de privilegios: PrintNightmare.
Para recolección de credenciales: Mimikatz y ZeroLogon.
Herramientas “Backdoor” (para obtener accesos remotos secundarios): AnyDesk y Webshells.
Para evitar la detección: Deshabilitación de Windows Defender y la técnica de Ofuscación.
Herramientas de acceso inicial: Escritorio Remoto (RDP) y el Acesso Web de Outlook (OWA).
Aunque algunos lectores pueden esperar ver herramientas de tipo dia cero -herramientas para nuevas vulnerabilidades para las cuales no se crearon parches o revisiones, y que se emplean para llevar a cabo un ataque-, la filtración demuestra que la eficacia de una herramienta o técnica no está directamente correlacionada con lo novedosa o desconocida que sea. Se aconseja a los lectores que presten mucha atención a las herramientas y técnicas filtradas de la documentación de Conti en un esfuerzo por tener una mitigación más efectiva de estas TTPs en su propia defensa.
Ninguna de las herramientas que utiliza Conti es especialmente novedosa. Los operadores de Conti tienen muchas herramientas y métodos que emplean para infectar y eventualmente encriptar las redes objetivo, pero todas son conocidas. No son amenazas únicas de día cero, son TTPs de "conocimiento común" que también son empleadas por equipos rojos en todas partes.