kaptn - Fotolia
Sophos advierte sobre nueva variedad de ransomware Conti
Se trata de un tipo de ransomware de ‘doble extorsión’ operado por humanos, que se ha presentado sobre todo en Estados Unidos y que ya llegó a México.
Los ataques cibernéticos operados por humanos representan una amenaza cada vez más grande para las organizaciones alrededor del mundo, comprometiendo información sensible e infiltrándose en las redes de las empresas.
Un ejemplo de ello es Conti, un ransomware que logra infiltrarse en las redes y obtener acceso a credenciales de administrador en apenas 16 minutos posteriores a la vulneración de un firewall. De acuerdo con Sophos, se trata de una acción de "doble extorsión", realizada por humanos, que roba información sensible y amenaza con cifrarla y exponerla a cambio de un rescate.
Peter Mackenzie, gerente general de Sophos Rapid Response, explica que se le denomina de ‘doble extorsión’ porque los atacantes obtienen acceso de forma simultánea a dos servidores para que los equipos de ciberseguridad, al detectar el ataque, deshabiliten únicamente uno de ellos, creyendo que detuvieron la amenaza a tiempo.
En ese momento, los cibercriminales únicamente cambian de servidor y continúan su propagación, en una especie de ‘Plan B’. “Este es un enfoque común en los ataques dirigidos por humanos y un recordatorio de que detectar únicamente una actividad sospechosa en la red no significa que el ataque haya terminado”, explica Mackenzie.
Una investigación de Sophos revela que los atacantes suelen obstruir el análisis del personal de TI de las empresas mediante la implementación de balizas Cobalt Strike legítimas en los equipos comprometidos, para posteriormente cargar el código durante el ataque, sin dejar huellas, esto para que los equipos de defensa no lo encuentren y/o examinen. En el caso estudiado, la empresa no tuvo más remedio que cerrar las operaciones.
El equipo de Sophos Rapid Response, luego de que la víctima se puso en contacto, neutralizó el ataque en 45 minutos y la firma pudo recuperar, en un día, la información afectada y reanudar sus operaciones.
"Este es un ataque muy rápido y potencialmente devastador", indica Mackenzie. “Descubrimos que los atacantes lograron comprometer la red del objetivo y obtener acceso a las credenciales de administrador del dominio dentro de los 16 minutos posteriores a la vulneración de un firewall y, en cuestión de horas, despliegan la columna vertebral del ataque de ransomware”.
Si bien el ransomware Conti se ha detectado principalmente en Estados Unidos, desde Sophos aclaran que ya tuvo presencia en México: de acuerdo con el sitio Conti News, desde 2020 y hasta la fecha se han presentado cerca de 180 casos de Conti a nivel global. Del total, EE.UU., con 128 ataques, es el país con mayor incidencia, seguido de Canadá con 14 y Reino Unido con 11 empresas vulneradas. En México solo hay un caso registrado, y es el único país latinoamericano en el que se ha presentado.
¿Cómo detectar Conti y protegerse?
Los primeros pasos a seguir que recomienda Sophos para responder ante este tipo de amenazas son:
- Cerrar el protocolo de escritorio remoto (RDP) orientado para denegar el acceso de los ciberdelincuentes a las redes.
- Si se necesita acceso al RDP, hacerlo mediante una conexión de red privada virtual (VPN)
- Utilizar seguridad en capas para prevenir, proteger y detectar ciberataques, incluidas las capacidades de detección y respuesta de endpoints (EDR) y equipos de respuesta administrados, que vigilan las redes las 24/7
- Disponer de un plan de respuesta a incidentes eficaz y actualizarlo según sea necesario. Si no hay seguridad de que se tengan las habilidades o los recursos al interior de la organización para monitorear amenazas o responder a incidentes, considerar recurrir a especialistas.