Kaspersky ha publicado una nueva versión de una herramienta para recuperar archivos bloqueados por el ransomware Conti, teniendo en cuenta las nuevas modificaciones del malware que se han hecho públicas recientemente

Conti domina la escena del cibercrimen desde 2019, pero los datos de este grupo se hicieron públicos en marzo de 2022, incluido su código fuente, tras un conflicto interno provocado por la crisis geopolítica en Europa.

La modificación en cuestión fue publicada por un grupo de ransomware desconocido y ha sido utilizada para ataques contra empresas e instituciones estatales. A finales de febrero de 2023, los expertos de Kaspersky descubrieron esta nueva serie de datos publicados en foros, que contenían 258 claves de acceso privado, el código fuente del malware y algunos descifradores precompilados.

Este ransomware surgió a finales de 2019 y estuvo muy activo a lo largo de 2020, representando más del 13% de los ataques de este tipo en el periodo. Sin embargo, cuando se publicó el código fuente hace un año, diferentes grupos de ciberdelincuentes crearon nuevas modificaciones del mismo. La variante del malware, que tenía sus claves publicadas, había sido utilizada en varios ataques contra empresas e instituciones estatales y fue descubierta por expertos de Kaspersky en diciembre de 2022.

Las claves de acceso privado que se filtraron están ubicadas en 257 carpetas (solo una de estas carpetas contiene dos claves), y algunas de ellas tienen información previamente descifrada y archivos comunes como documentos y fotos. Con esto se supone que estos últimos son algunos archivos de prueba enviados por las víctimas a los hackers para asegurarse de que los archivos puedan ser descifrados. 

De las carpetas, 34 mostraban explícitamente empresas y agencias gubernamentales. Asumiendo que cada carpeta corresponde a una víctima y que los descifradores fueron generados por quienes pagaron el rescate, es posible sugerir que 14 de las 257 víctimas cedieron al chantaje.

Después de analizar los datos, los expertos de Kaspersky lanzaron una nueva versión del descifrador gratuito para ayudar a las víctimas de esta modificación del ransomware Conti. 

El código de descifrado y las 258 claves de acceso se agregaron a la herramienta RakhniDecryptor 1.40.0.00 de Kaspersky. Además, también se puso a disposición del sitio web "No Ransom" de Kaspersky.

"El ransomware se ha convertido en la mayor preocupación de las organizaciones cuando se trata de amenazas digitales. Sin embargo, todas las tácticas, técnicas y procedimientos (TTP) que se utilizan en este tipo de ataques son conocidos, ya que estos grupos operan con muchas similitudes y los seguimos al pie de la letra, mucho tiempo, catalogando e identificando nuevos cambios de comportamiento. En este contexto, prevenir ataques debería ser algo más sencillo. Dicho esto, estamos orgullosos de compartir la herramienta para recuperar archivos secuestrados por Conti. Pero reforzamos que la mejor estrategia contra el ransomware es la prevención y bloqueo temprano de estos ataques", dice Fabio Assolini, director del Equipo de Investigación y Análisis Global de Kaspersky para América Latina.

Para la protección personal y comercial contra los ataques de ransomware, Kaspersky sugiere:

  • No exponga los servicios de Protocolo de Escritorio Remoto (RDP) en redes públicas a menos que sea absolutamente necesario. Además, utilice contraseñas seguras. Esta herramienta es una de las más explotadas para lanzar ataques de ransomware.
  • Instale actualizaciones de seguridad en las soluciones VPN, ya que esta es otra forma común que utilizan los delincuentes para obtener acceso a la red corporativa.
  • Concentre su estrategia de defensa en la detección de movimientos laterales (el proceso mediante el cual los atacantes se propagan desde la infección inicial por toda la red corporativa) y el robo de datos. Revise principalmente todos los datos enviados fuera de la red corporativa; con esto, aumentan las posibilidades de identificar una fuga y prevenirla.
  • Realice copias de seguridad de sus datos periódicamente. Asegúrese de poder acceder a los datos rápidamente en caso de emergencia.
  • Use soluciones y servicios de administración de seguridad para ayudar a identificar y bloquear ataques en una etapa temprana, para que pueda evitar que los delincuentes alcancen sus objetivos.
  • Proporcione al equipo de seguridad acceso a informes de amenazas actualizados con los últimos TTP utilizados en campañas de ransomware (y otros ataques cibernéticos). Con esta información, el equipo podrá prepararse para identificar, bloquear y responder rápidamente a todos los intentos de ataque.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Te puede interesar: