Akamai revela y analiza las técnicas utilizadas por la popular pandilla de ransomware: ¨Conti¨

0
52

12 de abril del 2022, El ransomware persistió como el principal método de ataque observado en 2021, tanto a nivel mundial como en la región, representando el 29% de los ataques en América Latina con bandas de ransomware sin mostrar signos de detenerse, de acuerdo a un informe reciente de IBM.

Oswaldo Palacios, Senior Account Excecutive México & NOLA para Guardicore (ahora parte de Akamai), prevé que estás bandas criminales se fortalezcan cada vez más debido a lo redituable que resulta un ataque de ransomware.

Conti es uno de los grupos de ransomware más populares y despiadados que ha devastado a varias empresas por una suma de casi 200 millones de dólares. Por lo que contar con la documentación, que fue filtrada por uno de sus mismos miembros, puede ayudar en gran medida a las organizaciones a defenderse no solo de éste sino también de otros grupos de ransomware similares, afirmó el directivo. Es por esto que los investigadores de seguridad de Akamai se dieron a la tarea de revisar y analizar esta valiosa documentación interna para comprender las herramientas y técnicas utilizadas por este moderno grupo de ransomware.

En un esfuerzo por recopilar esta información, decidimos centrarnos en la documentación interna, que incluye pautas para los operadores sobre la selección de objetivos, la piratería y el uso de sus herramientas. Creemos que estos TTP y metodologías también deberían brindar información sobre otros operadores de ransomware, permitiéndonos ponernos en el lugar de estos atacantes, comprender sus formas de operar y preparar nuestras
defensas en consecuencia, comentó Ophir Harpaz, líder del equipo de investigación de seguridad de Akamai Technologies

Aunque todavía existe un gran desconocimiento sobre Conti y otros grupos de ransomware, estos documentos le han dado a la comunidad de seguridad una mirada de primera mano a una organización ciberdelincuente.

Esta información es invaluable a medida que Continuamos la lucha contra ellos y contra el ransomware en general. Entender el punto de vista del atacante se ha convertido en una prioridad. Al considerar a Conti como una operación de negocio cuya estrategia de comercialización se filtró, podemos actuar como sus competidores en cierto sentido, utilizando su propia propiedad intelectual en su contra.

A Continuación los hallazgos principales y análisis sobre esta información filtrada del grupo Conti

* Ninguna de las herramientas que utiliza Conti es particularmente novedosa. Los operadores de Conti tienen muchas herramientas y métodos que emplean para infectar y eventualmente cifrar las redes de destino, pero todos los conocemos. No son amenazas únicas de día cero, son TTP de «conocimiento común» que también emplean los equipos de respuesta en todas partes.

* A pesar de esto, la filosofía de grupo Conti es “Si no está roto, no lo arregles”, como se dice popularmente. Esto respalda la idea de que los equipos de seguridad deben analizar detenidamente cómo abordan la defensa. Los días cero pueden aparecer en los titulares, pero los ataques fundacionales generan dinero.

* El dominio de la red es el objetivo. Por lo general, cuando se habla de ransomware, se pone más énfasis en el acto real de encriptación. Sin embargo, la verdad que los investigadores de Akamai quieren mostrar con este análisis es que hay un largo proceso que tiene que ocurrir antes de que pueda comenzar cualquier encriptación. Esta vez, la información está respaldada por la documentación real del operador de ransomware.

Considerando la relación entre la documentación de piratería y la documentación de
encriptación, queda claro que el principal problema es la piratería (filtración de la red, movimiento lateral y propagación, evitando la detección) en lugar de solo la encriptación y exfiltración de datos.

Este conocimiento demuestra que la superficie de detección que nosotros, como defensores, podemos emplear es mucho más amplia de lo que parece: solo necesitamos acercarnos y utilizarla. El hecho de que estos TTP no sean nuevos no los hace triviales; si lo fueran, no serían utilizados por uno de los grupos de ransomware activos más exitosos en la actualidad. Esta documentación y análisis respaldan que nosotros, como comunidad, debemos analizar el ransomware de manera más integral en lugar de solo el cifrado. Al centrarnos principalmente en el aspecto de cifrado del ransomware, nos estamos perdiendo una amplia superficie de detección que podría marcar la diferencia entre un incidente y un titular, Finalizó Ophir Harpaz.

VER ANÁLISIS COMPLETO