ContiLeaks: los chats que nos revelan más de 30 vulnerabilidades utilizadas por Conti Ransomware

Los chats internos filtrados entre los miembros del grupo de ransomware Conti ofrecen una visión única de su funcionamiento interno y brindan información valiosa, incluidos detalles sobre más de 30 vulnerabilidades utilizadas por el grupo y sus afiliados, así como detalles sobre sus procesos después de infiltrarse en una red.

En este artículo, ofreceremos antecedentes sobre Conti, uno de los grupos de ransomware más prolíficos en funcionamiento en la actualidad, profundizaremos en la información filtrada y ofreceremos consejos concretos sobre cómo proteger su organización contra los ataques de Conti.

1. ¿Quién es Conti y cómo trabajan?

Descubierto por primera vez en 2020 por investigadores de Carbon Black , Conti es un grupo criminal que opera un modelo de ransomware como servicio para implementar el ransomware Conti y extorsionar así a sus victimas.

El Ransomware como Servicio o RaaS por sus siglas en inglés (Ransomware-as-a-Service) es ofrecido por grupos criminales alrededor del mundo y brinda a los afiliados (ciberdelincuentes que buscan asociarse con grupos de RaaS) acceso a ransomware que está listo para implementarse, así como un libro de jugadas para ayudarlos a guiar sus ataques.

Los grupos RaaS toman una pequeña parte de los rescates pagados y proporcionan la mayor parte de las ganancias a los afiliados.

Conti saltó a la fama en los últimos dos años, obteniendo $ 180 millones en ganancias de sus ataques, según Chainalysis. También ganó notoriedad por los ataques contra el sector de la salud, incluidas al menos 16 redes de emergencia y salud de EE . UU. El más notable fue el ataque de Conti al Ejecutivo del Servicio de Salud de Irlanda (HSE) en mayo de 2021 en el que el grupo exigió un rescate de $ 20 millones , que el HSE se negó a pagar.

Así mismo en Costa Rica atacó varias instituciones gubernamentales tales como Ministerio de Hacienda, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), el Instituto Meteorológico Nacional (IMN), la Radiográfica Costarricense S. A. (RACSA), la Caja Costarricense de Seguro Social, el Ministerio de Trabajo y Seguridad Social (MTSS), el Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF) y la Junta Administrativa del Servicio Eléctrico Municipal de Cartago (JASEC).

2. ¿Qué son los ContiLeaks?

Los ContiLeaks comenzaron el 27 de febrero: como parte del trabajo de un presunto miembro infiltrado en el grupo de ransomware Conti; Este individuo filtró una serie de chats internos entre miembros del grupo al público en general.

Esta no es la primera vez que se filtra información confidencial sobre el grupo. En agosto de 2021, un afiliado de Conti publicó un libro de jugadas con materiales de capacitación proporcionados a los afiliados , que proporcionó nuestra primera visión del funcionamiento del grupo de ransomware.

Estas filtraciones han permitido a los investigadores analizar más tácticas, técnicas y procedimientos desarrollando indicadores de compromiso asociados con el grupo.

Los investigadores de Breach Quest publicaron un artículo el 9 de marzo analizando ContiLeaks, que incluía una lista de vulnerabilidades que el grupo parece haber estado usando para atacar a las organizaciones.

3. ¿Qué vulnerabilidades utiliza Conti?

Los grupos de ransomware como Conti usan una variedad de tácticas para violar las redes de posibles objetivos, estos incluyen phishing, malware y ataques de fuerza bruta contra el protocolo de escritorio remoto, entre otros.

Conti también se ha vinculado a EXOTIC LILY , un grupo de intermediarios de acceso inicial (IAB). Los IAB se centran en obtener acceso malicioso a organizaciones con el fin de vender ese acceso a grupos de ransomware y afiliados.

Sin embargo, la explotación de las vulnerabilidades de autenticación previa y posterior también desempeña un papel importante en los ataques de ransomware.

Como parte del manual de afiliados filtrado, hemos visto informes de que Conti y sus afiliados han estado utilizando las vulnerabilidades PrintNightmare y Zerologon contra objetivos. Sin embargo, ContiLeaks reveló 29 vulnerabilidades adicionales utilizadas por el grupo.

Además, hay informes de que Conti y sus afiliados tienen vulnerabilidades específicas en Fortinet FortiOS que se encuentran en los dispositivos SSL VPN de Fortinet para obtener acceso inicial a los entornos de destino.

El siguiente es un resumen de las vulnerabilidades utilizadas por Conti y sus las afiliados:

• vulnerabilidad de elevación de privilegios del administrador de notificaciones de Windows.

• Fortinet FortiOS Path Traversal/vulnerabilidad de lectura de archivos arbitrarios

• Vulnerabilidad de control de acceso inadecuado de Fortinet FortiOS

• Vulnerabilidad de ejecución remota de código de clave de validación de Microsoft Exchange

• Vulnerabilidad de ejecución remota de código de cliente/servidor de Windows SMBv3 ("SMBGhost")

• Vulnerabilidad de ejecución remota de código de cola de impresión de Windows ("PrintNightmare")

• Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server ("ProxyLogon")

• Vulnerabilidad de ejecución remota de código de VMware vCenter

• Vulnerabilidad de ejecución remota de código de Windows Remote Desktop Gateway (RD Gateway)

• Vulnerabilidad de elevación de privilegios de las extensiones de implementación de Windows AppX

• Vulnerabilidad de elevación de privilegios de Microsoft Windows

• Vulnerabilidad de elevación de privilegios de Windows Netlogon ("Zerologon")

• Vulnerabilidad de elevación de privilegios del administrador de informes de errores de Windows

• Vulnerabilidad de elevación de privilegios del Programador de tareas de Windows

• Vulnerabilidad de elevación de privilegios del servicio de transferencia inteligente en segundo plano de Windows

• Vulnerabilidad de elevación de privilegios del servicio UPnP de Windows

• Vulnerabilidad de elevación de privilegios en el cuadro de diálogo Certificado de Windows

También sabemos que Conti y sus afiliados han utilizado CVE-2021-44228 , también conocido como Log4Shell , como parte de los ataques que comenzaron a finales de 2021 .

Si desea la lista completa de vulnerabilidades y su solución tenemos un informe extendido que puede solicitar gratis al correo tecnologia@rsm.cr

4. Solución

La mayoría de las vulnerabilidades utilizadas por el grupo de ransomware Conti y sus afiliados se han parcheado en los últimos años. La falla más antigua de esta lista se corrigió hace seis años, en 2015, de ahí la importancia de conocer, remediar y prevenir cualquier vulnerabilidad conocida en su red.

Identificar los sistemas afectados y vulnerables

Para permitir que nuestros clientes identifiquen todas las vulnerabilidades conocidas aprovechadas por el grupo de ransomware Conti y sus afiliados, En RSM Costa Rica tenemos a su disposición herramientas de escaneo específicas que nos permiten detectar con precisión equipos afectados y vulnerables.

Además ponemos a su disposición múltiples herramientas para mejorar la ciberseguridad de su organización como:

• Evaluaciones de los controles de ciberseguridad de su empresa.

• Pruebas de penetración de infraestructura, software y aplicaciones web.

• Consultoría en aseguramiento de soluciones en la nube.

• Auditorías de seguridad de soluciones en la nube.

• Establecimiento de marcos de gobernanza y gestión de la ciberseguridad corporativa.

• Implementación y gestión de programas de educación y sensibilización en ciberseguridad.

Para mayor información, puede contactarnos a info@rsm.cr