Conti es un malware que pertenece a la familia de los ransomware. Fue visto por primera vez en entre octubre y diciembre de 2019 y opera como un Ransomware as a Service (RaaS, por sus siglas en ingles). Esto significa que los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliados, que son quienes se ocupan de la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates.

Conti suele utilizar la modalidad doble extorsión, también conocida como doxing, que consiste en exfiltrar información confidencial de sus víctimas previo al cifrado para luego extorsionarlas amenazándolas con publicar información exfiltrada a menos que paguen el monto de dinero exigido. De esta forma aumentan la presión, ya que no solo se trata de recuperar los archivos cifrados, sino también de evitar una posible brecha de información que podría perjudicar a la víctima de diversas maneras; por ejemplo, dañando su reputación. Esta modalidad se observó por primera vez en 2019 con el ransomware Maze y rápidamente fue adoptada por otras bandas criminales.

La larga lista de víctimas de Conti son organizaciones previamente elegidas por los criminales que cuentan con recursos suficientes para pagar importantes sumas de dinero o que necesitan de su información para poder operar con normalidad. Estas pueden ir desde grandes empresas de industrias como retail, manufactura, construcción, salud, tecnología o alimentos, hasta organismos gubernamentales.

Ha sido una de las familias de ransomware más activas durante 2021. Uno de los ataques más recordados fue el que afectó al sistema de salud público de Irlanda en mayo de 2021 en plena pandemia en el cual los criminales solicitaron el pago de 20 millones de dólares. En América Latina afectó a organizaciones de al menos cinco países diferentes, como Argentina, Brasil, Colombia, Nicaragua y República Dominicana.

¿Cómo se propaga Conti?

Según algunos reportes, Conti es capaz de obtener acceso inicial sobre las redes de sus víctimas a través de distintas técnicas. Por ejemplo:

• Campañas de phishing especialmente dirigidas que contienen documentos adjuntos maliciosos (como un archivo Word) o enlaces. Estos adjuntos descargan malware como TrickBot, Bazar backdoor o incluso aplicaciones legítimas como Cobalt Strike que son utilizadas de forma maliciosa para realizar movimiento lateral dentro de la red de la víctima y luego descargar el ransomware.
• Explotación de vulnerabilidades conocidas sobre equipos que están expuestos a Internet.
• Ataques sobre equipos con el servicio de RDP expuesto a Internet

Al estar dentro de la categoría de los RaaS, Conti recluta afiliados que son quienes se ocupan de acceder a las redes de las víctimas, moverse lateralmente, escalar privilegios, exfiltrar información confidencial y ejecutar el ransomware en los equipos de las víctimas.

Como dijimos anteriormente, estos afiliados suelen obtener un porcentaje de las ganancias obtenidas —generalmente cerca del 70% —tras un ataque exitoso, pero a veces puede esto puede derivar en conflictos, que fue lo que al parecer ocurrió con Conti cuando un afiliado, molesto con los desarrolladores del ransomware, publicó información sobre las herramientas que utilizan.

Cómo actúa Conti  al comprometer un equipo

De acuerdo a un análisis realizado sobre una muestra de 2021 con el hash 8FBC27B26C4C582B5764EACF897A89FE74C0A88D, identificamos que, cuando se ejecuta Conti sobre una máquina víctima, el ransomware cifrará todos los archivos que existan en el equipo, excepto algunos archivos que cumplan ciertas condiciones, las cuales mencionaremos más adelante.

Mientras se van cifrando los archivos de una carpeta se crea un archivo llamado readme.txt, el cual contiene la nota de rescate con todos los datos necesarios para contactarse con los cibercriminales. Por otro lado, Conti es capaz de buscar equipos en la red que tengan carpetas compartidas en el protocolo SMB para cifrar su contenido.

Una característica que diferencia a Conti de otros ransomware es que crea una cantidad considerable de hilos que permiten ejecutar en paralelo la rutina de cifrado. De esta forma logra cifrar los archivos de la máquina víctima de manera más rápida. A su vez, dependiendo del tamaño del archivo que va a ser cifrado, Conti no necesariamente cifra el archivo entero, sino que cifra una parte de este.

Esto nos demuestra que Conti es un malware diseñado para cifrar todos los archivos de la máquina de una víctima en el menor tiempo posible.

Consejos

Ante un ataque de ransomware, ya sea Conti u otra familia, no se recomienda pagar por el rescate de los archivos afectados. Por un lado, porque no hay certeza de que los cibercriminales entreguen el descifrador para recuperar los archivos una vez realizado el pago; y por otro lado, porque en caso de pagar estaríamos contribuyendo a que el cibercrimen crezca y que este tipo de ataques siga siendo rentable para ellos.

Las recomendaciones para evitar o minimizar el riesgo de un ataque de ransomware son:

• Hacer backups de la información de manera periódica
• Mostrar las extensiones de los archivos que por defecto vienen ocultas, para evitar abrir archivos maliciosos
• Instalar una solución de seguridad confiable
• Implementar una solución EDR, sobre todo en activos críticos o con una alta exposición, para detectar posibles anomalías.
• Mantener los equipos actualizados, tanto el Sistema Operativo como aplicaciones que se utilicen
• Deshabilitar el RDP cuando no sea necesario
• No abrir archivos adjunto ni enlaces en un correo si no conoces a la persona que lo envió
• Capacitar al personal de la empresa para que sea consciente de los riesgos a los que estamos expuestos en Internet