Ir al contenido
Productos y Servicios PRODUCTOS Y SERVICIOS

Un afiliado del ransomware Conti se vuelve rebelde y filtra datos de la banda

Si te gusta un toque de ironía en las noticias de ciberseguridad, esta ha sido tu semana.

Ayer escribíamos sobre un agujero de seguridad explotable dentro de una herramienta de hacking que ayuda a explotar agujeros de seguridad.

Hoy, escribimos sobre una filtración relacionada con el ransomware que filtró información de la organización desde el interior de un grupo de ransomware.

Y si eso no es suficiente para traer una sonrisa irónica a tus labios, entonces hay más.

La filtración de datos actual incluye un montón de herramientas de hacking que a los delincuentes de ransomware les encanta usar, ¡incluida una versión pirateada con errores y explotable de la misma herramienta de ataque sobre la que escribimos ayer!

Como ya se sabe, muchos de los ataques de ransomware actuales no los llevan a cabo los ciberdelincuentes que escriben el código de malware. A estos les gusta mantenerse fuera del centro de atención reclutando “afiliados” para manejar las intrusiones reales en redes.

(Estas bandas de ciberdelincuentes a menudo utilizan un vocabulario comercial habitual, incluso se refieren a sus víctimas como “clientes” y describen sus intentos de extorsión como “negociaciones”).

En teoría, los afiliados pueden ganar mucho dinero, porque generalmente se les paga el 70% del rescate y cada rescate puede ascender a millones de dólares actualmente.

Y en la práctica, los ciberdelincuentes que escriben el malware, operan el “sistema de afiliados” y cobran los pagos del chantaje en Bitcoins, pueden volverse aún más ricos, porque obtienen el 30% de todo.

Sin embargo, según The Record, que publicó una captura de pantalla de una publicación en un foro de ciberdelincuentes de un usuario que hablaba del equipo de ransomware Conti:

Sí, por supuesto que reclutan tontos y se reparten el dinero entre ellos, y a los chicos les dan algo de lo que les dice que la víctima ha pagado.

La implicación, claramente, es que a los afiliados del equipo de ransomware Conti no se les paga el 70% del monto real del rescate, sino el 70% de un número imaginario pero menor.

El usuario crítico añadió a la publicación anterior un enlace a un archivo de 81 MByte llamado Мануали для работяг и софт.rar (manuales de operación y software).

Al parecer no hay honra entre ladrones.

Sin secretos vitales

En última instancia, los datos filtrados por el afiliado descontento no son gran cosa.

Los delincuentes en el núcleo de los llamados grupos de ransomware como servicio se quedan con el código fuente, las claves de descifrado y los detalles del pago del chantaje.

Por lo tanto, esta filtración no ayudará a ninguna víctima de ransomware a descifrar archivos codificados sin pagar.

De hecho, si deseas obtener una copia de los archivos filtrados para ver de qué se trata todo esto, con la esperanza de que te brinde algunos trucos y consejos para defenderte del ransomware que aún no conocías, ten cuidado, porque los archivos incluyen numerosas herramientas de hackeo y explotación del sistema, convenientemente recopiladas en un solo lugar, junto con instrucciones y consejos (en su mayoría escritos en ruso).

Tómalo como un vertedero de la base de conocimientos de la comunidad de Conti, con una gran cantidad de software peligroso incluido.

Si eres cliente de Sophos, puede utilizar los siguientes nombres de detección para buscar en tus propios registros las herramientas incluidas en la infracción:

ATK/PowSploit-E    <-- Kerberoast, utilizado para atacar inicios de sesión de Active Directory

ATK/Cobalt-*       <-- "Cobalt Strike", un completo sistema de botnet para "emulación de amenazas"

ATK/Shellcode-*    <-- Inyectores de explotación incluidos en Cobalt Strike

Troj/Agent-*       <-- Varios módulos "zombis" de puerta trasera se incluyen en Cobalt Strike


GMER               <-- Un popular detector/eliminador para rootkits (y software de seguridad)

Harmony Loader     <-- Kit de herramientas para la ejecución sin archivos de programas a través de C-Sharp

PC Hunter          <-- Low-level security spelunking tool

PowerTool          <-- Herramienta de espeleología de seguridad de bajo nivel

Stas'M Router Scan <-- escanea y busca agujeros en enrutadores, puntos de acceso Wi-Fi y más

Los documentos filtrados ofrecen consejos básicos sobre numerosos temas, que incluyen:

  • Volcado de hashes de contraseña.
  • Desactivar Defender.
  • Instalación y uso de Metasploit.
  • Escaneo de redes en busca de dispositivos de respaldo.
  • Abrir puertas traseras a una red comprometida.
  • Uso de exploits populares.
  • Privilegio elevado.
  • Listado de usuarios.

También hay una pequeña colección de herramientas para deshabilitar o desinstalar varios antivirus.

Incluso hay un archivo por lotes con un nombre espectacular: DIEsophos.bat. (Es difícil saber si estamos orgullosos o enfadados porque los criminales se sintieron lo suficientemente fuertes como para usar LETRAS MAYÚSCULAS en su nombre de archivo).

Según nuestro equipo Managed Threat Response (MTR), si los clientes de Sophos tienen activada la protección contra manipulaciones activada, las medidas anti-Sophos en los documentos filtrados no funcionarán, incluso si el atacante ya es un administrador y puede acceder al modo seguro de Windows. Si no estás utilizando la protección contra manipulaciones, recomendamos que la actives ahora.

¿Qué hacer?

Vamos a repetir el consejo que dimos ayer a raíz del bug Cobalt Strike:

Si tus herramientas de seguridad presentan una alerta de “Cobalt Strike” o informes relacionados con cualquiera de las técnicas y herramientas que mencionamos anteriormente, recomendamos que lo investigues de inmediato, incluso si tu software de ciberseguridad indica que ha bloqueado y eliminado automáticamente el software falso que ha causado la alerta.

Eso se debe a que las intrusiones de este tipo significan que alguien estaba tratando de establecer una  estrategia para ganar una pequeña zona dentro de tu red, tal vez para un ataque de ransomware, tal vez para un robo de datos, tal vez para ambos, o tal vez para cualquier otra actividad delictiva y si entraron una vez, es razonable suponer que si no los encuentras y no les cierras la puerta, volverán a entrar, porque eso es literalmente lo que hacen los ciberdelincuentes para ganarse la vida.

La buena noticia es que los datos filtrados realmente no nos dicen nada que no sepamos, ni introducen nuevas herramientas o técnicas que el típico ciberdelincuente tampoco conocía.

La mala noticia, por supuesto, es que los datos filtrados realmente no nos dicen nada que no sepamos.

Entonces, no esperes que la filtración sea lo suficientemente jugosa como para incluir claves de descifrado gratuitas o datos de identificación personal que podrían ayudar a la policía a rastrear a algunos de estos ciberdelincuentes.

1 comentario

Dejar un comentario

Your email address will not be published. Required fields are marked *