Reportar incidente
Buscar
Cerrar este cuadro de búsqueda.

Nueva herramienta de descifrado para vencer al ransomware Conti

Kaspersky ha publicado una herramienta de descifrado para enfrentar a una modificación de Conti, Ransomware que utiliza múltiples hilos para cifrar archivos a un ritmo más rápido en comparación con otras familias de malware. La modificación descubierta fue distribuida por un grupo de ransomware desconocido y se ha utilizado contra empresas e instituciones estatales.

Una herramienta de descifrado para una versión modificada del ransomware Conti podría ayudar a cientos de víctimas a recuperar sus archivos de forma gratuita. La utilidad funciona con datos cifrados con una cepa del ransomware que surgió tras la filtración del código fuente de Conti en marzo del año pasado.

Conti es una banda de ransomware que ha dominado la escena del cibercrimen desde 2019 y cuyos datos, incluido el código fuente, se filtraron en marzo de 2022 tras un conflicto interno provocado por la crisis geopolítica en Europa. La modificación descubierta fue distribuida por un grupo de ransomware desconocido y se ha utilizado contra empresas e instituciones estatales.

Los investigadores de la empresa de ciberseguridad Kaspersky descubrieron la filtración en un foro donde los autores de la amenaza publicaron una caché de 258 claves privadas de una versión modificada del ransomware Conti. La variante fue utilizada en ataques contra varias organizaciones privadas y públicas durante el año pasado por un grupo de ransomware que algunos investigadores rastrean como MeowCorp.

Kaspersky analizó las claves y descubrió que estaban asociadas a una variante de Conti que descubrieron en diciembre de 2022. Sin embargo, la cepa llevaba circulando al menos desde agosto. Las claves privadas filtradas se encuentran en 257 carpetas (solo una de ellas contiene dos claves), afirma Kaspersky en un comunicado de prensa.

Fig. Carpetas con claves privadas para el encriptador basado en Conti. (Fuente: bleepingcomputer.com)

BleepingComputer supo que los ataques que utilizaban el descifrador basado en Conti iban dirigidos sobre todo a organizaciones rusas. Los investigadores añaden que algunas de las carpetas incluían descifradores generados previamente junto con otros archivos, es decir, fotos y documentos, que probablemente se utilizaban para mostrar a las víctimas que el descifrado funcionaba. 34 de las carpetas contenían nombres explícitos de organizaciones víctimas del sector gubernamental en países de Europa y Asia.

Las claves privadas se crearon entre el 13 de noviembre de 2022 y el 5 de febrero de 2023, lo que es un buen indicio sobre la cronología de los ataques. Sinitsyn nos dijo que las fechas de infección de las víctimas que se pusieron en contacto con Kaspersky para el descifrado caían dentro de ese rango de tiempo.

Detalles técnicos del Ransomware Conti

El ransomware Conti utiliza la ofuscación. El uso más notable es ocultar varias llamadas a la API de Windows utilizadas por el malware. Es habitual que algunos programas maliciosos busquen llamadas a la API durante la ejecución. Inicialmente, trae nombres de módulos de importación, luego descifra los nombres de API y obtiene sus direcciones.

Fig. Carpetas con claves privadas para el encriptador basado en Conti. (Fuente: bleepingcomputer.com) 
  • Conti utiliza una rutina de descifrado de cadenas única que se aplica a casi todas las cadenas de texto o nombres de API utilizados por el malware.
  • Después de obtener las direcciones API, llama a la API CreateMutexA con el valor Mutex de «CONTI».
  • Elimina Windows Volume Shadow Copies y también redimensiona shadow storage para las unidades C a H.
  • A continuación, Conti ejecuta comandos para detener posibles servicios de Windows relacionados con soluciones antivirus, de seguridad, de copia de seguridad, de bases de datos y de correo electrónico.
  • Conti también aprovecha el Administrador de Reinicio de Windows para cerrar las aplicaciones y servicios que se están ejecutando con el fin de que estén disponibles para el cifrado y maximizar el daño.
  • Recopila información sobre las unidades y los tipos de unidades presentes en los sistemas comprometidos.
  • Conti utiliza tácticas multihilo. Llama a la API CreateIoCompletionPort para crear múltiples instancias de hilos trabajadores en memoria para esperar los datos. Una vez completado el listado de ficheros, se pasa a los hilos trabajadores. Utilizando la potencia de cálculo de las CPU multinúcleo, los datos se codifican rápidamente. Este proceso se ilustra en la siguiente figura.
  • Utiliza una clave de cifrado AES-256 por archivo con una clave de cifrado pública RAS-4096 codificada, terminando la ejecución de encriptado.

Indicadores de Compromiso

Kaspersky añadió el código de descifrado y las 258 claves privadas a su RakhniDecryptor, una herramienta que puede recuperar archivos cifrados por más de dos docenas de cepas de ransomware.

  • Trojan-Ransom.Win32.Conti
  • Trojan-Ransom.Win32.Ragnarok
  • Trojan-Ransom.Win32.Fonix
  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Ransom.Win32.Aura
  • Trojan-Ransom.AndroidOS.Pletor
  • Trojan-Ransom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.GandCrypt ver. 4 / 5
  • Trojan-Ransom.Win32.Bitman ver. 3 / 4
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.MSIL.Lortok
  • Trojan-Ransom.MSIL.Yatron
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.CryFile
  • Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
  • Trojan-Ransom.Win32.Nemchig
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Mor
  • Trojan-Ransom.Win32.Crusis (Dharma)
  • Trojan-Ransom.Win32.AecHu
  • Trojan-Ransom.Win32.Jaff
  • Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
  • Trojan-Ransom.Win32.Maze
  • Trojan-Ransom.Win32.Sekhmet
  • Trojan-Ransom.Win32.Egregor

SHA

TIPOValor
SHA25679E41BB5B4EDEF24742F9E376ADD4BAFDB9CBEB9CB8AE256A36DF74694D820B9
SHA2561EF1FF8B1E81815D13BDD293554DDF8B3E57490DD3EF4ADD7C2837DDC67F9C24
SHA256EAE876886F19BA384F55778634A35A1D975414E83F22F6111E3E792F706301FE

Recomendaciones

  • No exponga servicios de escritorio remoto (como RDP, por sus siglas en inglés) a las redes públicas, a menos que sea absolutamente necesario, y siempre use contraseñas seguras para ellos.
  • Instale de inmediato los parches disponibles para las soluciones VPN comerciales que dan acceso a los empleados que trabajan a distancia y actúan como puertas de enlace en su red.
  • Concentre su estrategia defensiva en la detección de movimientos laterales y la filtración de datos a Internet. Preste especial atención al tráfico saliente para detectar conexiones de ciberdelincuentes.
  • Realice periódicamente copias de seguridad de los datos. Asegúrese de poder acceder rápidamente a estos en caso de emergencia cuando sea necesario.

Referencias

https://www.kaspersky.com/about/press-releases/2023_kaspersky-updates-tool-for-decrypting-conti-based-ransomware
Webinars

¿Te perdiste el en vivo? ¡Míralo ahora!

WEBINARS DE METARED
WEBINARS DE CSIRT-CEDIA

HispaSEC

Packet storm security

Síguenos
Twitter
Suscríbete

Recibe nuestro boletín para mantenerte actualizado

Equipo de Respuesta a Incidentes de seguridad de cedia

Twitter
SOC-CSIRT CEDIA
Links de interés
Ver consentimiento de datos personales

Copyright ©2024 CSIRT. Powered by CEDIA.