Cuidado: Conti Ransomware Agrega Nuevas Herramientas para Borrar Copias de Seguridad

Investigadores de la firma de seguridad Advanced Intelligence publicaron un informe reciente sobre el notorio ransomware Conti. El informe se centra en las nuevas capacidades del ransomware para destruir las copias de seguridad del sistema.

La banda de ransomware Conti es conocida por ser una de las organizaciones de ciberdelincuentes más peligrosas. El equipo de investigación de Advanced Intelligence califica a la pandilla de "despiadada" en el informe y destaca el hecho de que en el pasado, la pandilla Conti atacó varias entidades donde las consecuencias de los ataques podrían haber sido potencialmente fatales. Esto incluye varias instituciones y organizaciones médicas y sanitarias, incluidos hospitales y centros de emergencia médica.

El informe también centra su atención en la forma en que la pandilla Conti recluta a sus miembros. Una de las habilidades más buscadas cuando se trata de aprobar afiliados bajo el modelo de 'ransomware-as-a-service' de la pandilla es la capacidad de borrar las copias de seguridad del sistema de manera rápida y eficiente.

Naturalmente, no tener copias de seguridad y no poder restaurar su red infectada con ransomware para que funcione correctamente es el mayor motivador para pagar el rescate. Es por eso que Conti está tan concentrado en encontrar afiliados que sean buenos para destruir copias de seguridad; esto conduce a mayores probabilidades de recibir el pago después del ataque.

La banda Conti parece estar particularmente interesada en destruir los datos de respaldo creados y almacenados usando aplicaciones de una compañía de seguridad de datos llamada Veeam.

Si bien el vector de ataque y el despliegue de herramientas por parte de la banda Conti es un procedimiento bastante estándar, en un momento los piratas informáticos de Conti obtienen una cuenta de usuario de respaldo privilegiada, momento en el que no hay nada que realmente se pueda hacer para evitar el borrado de la copia de seguridad.

Veeam emitió una declaración formal en respuesta al informe y afirmó que realmente no hay nada que la empresa o el software puedan hacer una vez que los piratas informáticos obtienen acceso a la cuenta de administrador del dominio. Además, la compañía recomendó a sus clientes que ejecuten el software de respaldo en un dominio separado, por lo que este tipo de situación en la que el compromiso del dominio principal conduce a borrados de respaldo también puede evitarse.

La pandilla Conti también es conocida por usar tácticas de doble extorsión, algo que un número cada vez mayor de actores de ransomware ha detectado. Esto implica cifrar la red de la víctima y amenazar con filtrar información confidencial extraída durante el ataque.