CISA emite advertencia contra grupo extorsionista Conti
En total, se registraron más de 400 ataques utilizando el ransomware Conti.
La Agencia de Seguridad Cibernética e Infraestructura (CISA) ha publicado un boletín sobre el ransomware Conti. El documento para la comunidad de ciberseguridad proporcionó información detallada sobre el grupo y sus socios.
En total, se han reportado más de 400 ataques de ransomware Conti contra organizaciones estadounidenses y empresas internacionales, según CISA y el FBI. CISA proporcionó información técnica sobre cómo opera el grupo de ransomware y qué pasos pueden tomar las organizaciones para prevenir posibles ataques.
Si bien Conti utiliza un modelo comercial de ransomware como servicio, el grupo opera de manera algo diferente a otros delincuentes, señalaron los expertos. Según CISA, el grupo no paga a los socios una parte del producto del rescate, sino que paga los salarios.
Según el director de ciberseguridad de la NSA, Rob Joyce (Rob Joyce), los operadores de Conti están apuntando a la infraestructura crítica. El número de ataques que utilizan Conti está aumentando. Joyce instó a las organizaciones a utilizar la autenticación multifactor, segmentar sus redes, escanearlas en busca de vulnerabilidades y mantenerse al tanto de todas las correcciones.
Los miembros de Conti utilizan una variedad de métodos y herramientas para infiltrarse en los sistemas, incluidas campañas de phishing dirigidas, software de control y monitoreo remoto y software de escritorio remoto.
Las campañas de phishing dirigidas utilizaron correos electrónicos que contenían enlaces o archivos adjuntos maliciosos. Los archivos adjuntos maliciosos de Microsoft Word a menudo contienen scripts incrustados para descargar o instalar otro malware como TrickBot e IcedID y / o Cobalt Strike.
A veces, el grupo y sus socios utilizan herramientas que ya están en la red de la víctima o ejecutan Windows Sysinternals y Mimikatz para robar credenciales de texto sin formato. De esta manera, los piratas informáticos elevan los privilegios en el sistema y realizan otras tareas después de la explotación y moverse por la red.
