La agencia de Seguridad de Infraestructura de Ciberseguridad (CISA), en conjunto con la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA), advierten sobre el aumento de los ataques de Ransomware Conti. Según las agencias los operadores de ransomware Conti ya realizaron más de 400 ataques contra organizaciones estadounidenses e internacionales.
Si bien Conti se considera una variante de ransomware del modelo de ransomware como servicio (RaaS), existe una variación en su estructura que lo diferencia de un modelo de afiliado típico. Es probable que los desarrolladores de Conti paguen a los implementadores del ransomware un salario en lugar de un porcentaje de las ganancias utilizadas por los ciber actores afiliados y reciban una parte de las ganancias de un ataque exitoso.
CISA explicó que los actores maliciosos suelen utilizar diferentes métodos de infección
- Campañas de correos electrónicos que contienen archivos adjuntos o enlaces maliciosos, estos archivos contiene descargadores Trickbot, IcedID y/o Cobalt Strike.
- Credenciales de protocolos de escritorio remoto (RDP) débiles o contraseñas comprometidas.
- Instalación de software falsos
- Vulnerabilidades en activos expuestos a internet
Algunas recomendaciones entregadas por el FBI
- Utilizar autentificación multifactor
- Implementar segmentación de red y filtro de tráfico
- Actualizar sistemas operativos y software
- Eliminar aplicaciones innecesarias o sospechosas
- Mantener antivirus actualizado
Indicadores de compromisos entregados por la agencia de seguridad de infraestructura de ciberseguridad que identificaron cuatro direcciones de servidores de Comando y control Cobal Strike que usaba los actores de Conti
162.244.80[.]23585.93.88[.]165185.141.63[.]12082.118.21[.]1