Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
noviembre
(Total:
77
)
- Principales características del Ransomware Conti
- El 86% de Google Cloud comprometidas son para mina...
- Jack Dorsey renuncia como CEO de Twitter
- Ikea víctima de un ciberataque en su correo electr...
- Localizado en Siberia importante operador ruso del...
- Pfizer denuncia a una empleada por la filtración d...
- Empleados de Amazon cotilleaban las compras de los...
- Utilizar SSD como caché para acelerar rápidez disc...
- Ejemplos comando find para buscar en Linux
- Funcionamiento Protocolo p2p (BitTorrent)
- 35 administraciones de España cayeron en una simpl...
- Listado anual de las peores contraseñas de 2021
- Fallo en chips MediaTek permite espiar las llamada...
- 9,3 millones teléfonos Huawei infectados con malwa...
- Varias aplicaciones populares para Android contien...
- Dos detenidos por utilizar PCs de exposición de Me...
- R-Photo: programa gratuito para recuperar fotos y ...
- Propuesta de liberar el rango IP reservadas 127.0....
- Un estado alemán se pasa al código abierto y usará...
- Método para localizar micro-cámaras ocultas utiliz...
- Tails es el sistema operativo anónimo vía Tor arra...
- Empleados de Microsoft filtran un documento que re...
- Detenido estafador de criptomonedas que usaba la w...
- Apple demanda la empresa israelí NSO Group por hac...
- Burlar lector de huella con una foto, una impresor...
- Recuperar ficheros secuestrados por el ransomware ...
- Analizar amenazas tráfico de red con Brim
- Un nuevo exploit de día cero para Windows permite ...
- Roban mediante bots de voz los código de autentica...
- Filtrados datos de 1,2 millones clientes de GoDadd...
- Facebook retrasa el cifrado de extremo a extremo e...
- Activar segundo factor autenticación (2FA) en una ...
- Red Tor: ¿qué es, cómo funciona y cómo se usa?
- Microsoft Defender utilizará IA para evitar ataque...
- Botnet Emotet-TrickBot vuelve de la mano de operad...
- Qualcomm promete procesadores ARM para PC parar po...
- Windows 10 ahora sólo recibirá una actualización a...
- Apple permite el derecho a reparar en casa con pie...
- Variante Botnet Mirai con apenas 15 mil dispositiv...
- Restablecer Windows 11 a la configuración de fábrica
- Windows 10 versión 2004 dejará de recibir actualiz...
- Intel celebra el 50º Aniversario del Intel 4004, e...
- Microsoft advierte del aumento de ataques de phish...
- Parches para múltiples vulnerabilidades de CPU's I...
- Se cumplen 25 años del sistema operativo IBM OS/2 ...
- Hackean servidor de correo electrónico del FBI par...
- LibreWolf, un fork de Firefox basado en la privaci...
- EulerOS, la distribución de Huawei basada en CentOS
- BlackArch: distro de hacking ético para pentesting
- OnionShare permite compartir documentos y chatear ...
- YouTube oculta el número de votos negativos
- Datos personales de clientes de Movistar y O2 expu...
- Mejores distribuciones de Linux para hacking ético
- Casi 15 años para ser finalmente absueltos los res...
- La historia de The Pirate Bay en una serie de tele...
- Un ataque del ransomware Conti obliga a detener la...
- Una madre se hace pasar por una adolescente para a...
- Roban 240 mil euros a una anciana mediante Bizum c...
- Disponible Navegador Tor 11 estrena nuevo diseño b...
- Ucraniano de 22 años operador del ransomware ruso ...
- Paquetes NPM maliciosos contienen malware
- Distro oficial para RaspBerry Pi se actualiza a De...
- El Equipo de F1 McLaren recibe más de 34 mil corre...
- Tiendas MediaMarkt víctimas de un ataque ransomwar...
- Actualización de seguridad crítica para Cisco Poli...
- Xiaomi presenta la tecnología Loop LiquidCool para...
- Pwn2Own: Samsung Galaxy S21 hackeado dos veces e i...
- Estados Unidos ofrece recompensas de hasta 10 mill...
- La empresa Israelí NSO, responsable del espionaje ...
- Vulnerabilidad crítica en el módulo TIPC del kerne...
- Diferencias entre Windows 11 Home y Pro
- Tutorial: herramienta gratuita Rufus para crear un...
- Detectan atacantes explotando el grave fallo RCE n...
- Contraseña y usuario por defecto de los routers de...
- Facebook dejará de usar reconocimiento facial y bo...
- Trojan Source: vulnerabilidad unicode en los compi...
- Botnet infecta más de 1,6 millones routers en China
- ► septiembre (Total: 56 )
-
▼
noviembre
(Total:
77
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Principales características del Ransomware Conti
Analizadas las principales características del ransomware Conti a partir del análisis de una muestra de mayo de 2021 e información pública sobre la metodología utilizada por sus afiliados.
Conti es un malware que pertenece a la familia de los ransomware. Fue visto por primera vez en entre octubre y diciembre de 2019 y opera como un Ransomware as a Service (RaaS, por sus siglas en ingles). Esto significa que los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliados, que son quienes se ocupan de la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates.
Conti suele utilizar la modalidad doble extorsión, también conocida como doxing, que consiste en exfiltrar información confidencial de sus víctimas previo al cifrado para luego extorsionarlas amenazándolas con publicar información exfiltrada a menos que paguen el monto de dinero exigido. De esta forma aumentan la presión, ya que no solo se trata de recuperar los archivos cifrados, sino también de evitar una posible brecha de información que podría perjudicar a la víctima de diversas maneras; por ejemplo, dañando su reputación. Esta modalidad se observó por primera vez en 2019 con el ransomware Maze y rápidamente fue adoptada por otras bandas criminales.
Similar al ransomware Ryuk, la larga lista de víctimas de Conti son organizaciones previamente elegidas por los criminales que cuentan con recursos suficientes para pagar importantes sumas de dinero o que necesitan de su información para poder operar con normalidad. Estas pueden ir desde grandes empresas de industrias como retail, manufactura, construcción, salud, tecnología o alimentos, hasta organismos gubernamentales.
Ha sido una de las familias de ransomware más activas durante 2021. Uno de los ataques más recordados fue el que afectó al sistema de salud público de Irlanda en mayo de 2021 en plena pandemia en el cual los criminales solicitaron el pago de 20 millones de dólares. En América Latina afectó a organizaciones de al menos cinco países diferentes, como Argentina, Brasil, Colombia, Nicaragua y República Dominicana.
¿Cómo se propaga Conti?
Según algunos reportes, Conti es capaz de obtener acceso inicial sobre las redes de sus víctimas a través de distintas técnicas. Por ejemplo:
- Campañas de phishing especialmente dirigidas que contienen documentos adjuntos maliciosos (como un archivo Word) o enlaces. Estos adjuntos descargan malware como TrickBot, Bazar backdoor o incluso aplicaciones legítimas como Cobalt Strike que son utilizadas de forma maliciosa para realizar movimiento lateral dentro de la red de la víctima y luego descargar el ransomware.
- Explotación de vulnerabilidades conocidas sobre equipos que están expuestos a Internet.
- Ataques sobre equipos con el servicio de RDP expuesto a Internet
Al estar dentro de la categoría de los RaaS, Conti recluta afiliados que son quienes se ocupan de acceder a las redes de las víctimas, moverse lateralmente, escalar privilegios, exfiltrar información confidencial y ejecutar el ransomware en los equipos de las víctimas.
Como dijimos anteriormente, estos afiliados suelen obtener un porcentaje de las ganancias obtenidas —generalmente cerca del 70% —tras un ataque exitoso, pero a veces puede esto puede derivar en conflictos, que fue lo que al parecer ocurrió con Conti cuando un afiliado, molesto con los desarrolladores del ransomware, publicó información sobre las herramientas que utilizan.
Exfiltración de los manuales de Conti
Durante la primera semana del mes de agosto de 2021, un afiliado del grupo Conti publicó en un foro clandestino un archivo que contenía distintos manuales y herramientas que el propio grupo les daba a los operadores afiliados para que puedan realizar actividades cibercriminales sobre sus víctimas. Este acto de “venganza” fue llevado a cabo ya que, aparentemente, el grupo Conti no le había pagado el monto de dinero que el esperaba por uno de sus trabajos de “pentest”.
El archivo publicado contiene 37 manuales, la mayoría escritos en ruso, que son instructivos de cómo utilizar distintas herramientas para realizar las siguientes acciones:
- Configurar y utilizar Cobalt Strike
- Realizar ataques de fuerza bruta sobre el protocolo SMB, incluyendo un listado de algunas contraseñas básicas.
- Lograr persistencia utilizando el software AnyDesk dentro de la máquina de una víctima.
- Desactivar el Windows Defender de manera manual dentro de una máquina víctima
- Enumerar usuarios dentro de una red
- Realizar una copia de las Shadow copies
- Exfiltrar archivos utilizando el software Rclone
- Instalar el framework Metasploit dentro de un servidor privado virtual (VPS, por sus siglas en inglés)
- Escalar privilegios
- Utilizar el exploit de ZeroLogon en Cobalt Strike
- Dumpear el proceso LSASS utilizando Cobalt Strike
- Extraer la información de una base de datos SQL
- Escanear una red por medio de la herramienta NetScan
- Enlaces hacia repositorios públicos con exploits o guías de cómo realizar un pentest sobre una red de Active Directory
A su vez, incluye distintas herramientas que los afiliados pueden utilizar en sus ataques. Por ejemplo, el famoso Framework robado de Cobalt Strike, el software Rclone que permite sincronizar archivos de una computadora contra servicios de almacenamiento en la nube, entre otros.
Este archivo contiene 37 archivos de texto con instrucciones sobre cómo utilizar varias herramientas de hacking e incluso software legítimo durante una intrusión en la red.
Por ejemplo, los manuales filtrados contienen guías sobre cómo:
Técnicas Hacking ransomware Conti
- Configurar el software Rclone con una cuenta MEGA para la exfiltración de datos
- Configurar el software AnyDesk como una solución de persistencia y acceso remoto en la red de una víctima [una táctica conocida de Conti]
- Configurar y usar el agente Cobalt Strike
- Utilizar la herramienta NetScan para escanear redes internas
- Instalar el marco de prueba pentesting Metasploit en un servidor privado virtual (VPS)
- Conectarse a redes hackeadas a través de RDP utilizando un túnel seguro de Ngrok
- Elevar y obtener derechos de administrador dentro de la red hackeada de una empresa
- Hackear (elevar privilegios) de los controladores de dominio
- Volcar contraseñas de directorios activos (volcado NTDS)
- Realizar ataques de fuerza bruta SMB
- Ataques fuerza bruta routers, dispositivos NAS y cámaras de seguridad
- Utilizar el exploit ZeroLogon
- Realizar un ataque Kerberoasting
- Deshabilitar las protecciones de Windows Defender
- Eliminar instantáneas de volumen
- Cómo los afiliados pueden configurar sus propios sistemas operativos para usar la red de anonimato Tor, y más
Descargar Manuales Conti
Es importante destacar que muchos de los comandos y algunas herramientas que se mencionan en estos manuales son comúnmente utilizadas a la hora de brindar un servicio de pentesting que una empresa solicita de forma legal. Esto demuestra que los cibercriminales no siempre utilizan técnicas sofisticadas o muy novedosas para lograr comprometer a sus víctimas, sino que muchas veces recurren a técnicas conocidas por el simple hecho de que siguen siendo efectivas.
Los manuales están explicados de forma muy detallada, permitiendo que una persona con conocimientos básicos sea capaz de poder llevar a cabo este tipo de ataques. Esto nos da la pauta de que el grupo Conti no necesariamente busca reclutar personas que tengan fuertes conocimientos técnicos en seguridad para hacer sus “trabajos”.
Una característica que diferencia a Conti de otros ransomware es que crea una cantidad considerable de hilos que permiten ejecutar en paralelo la rutina de cifrado. De esta forma logra cifrar los archivos de la máquina víctima de manera más rápida. A su vez, dependiendo del tamaño del archivo que va a ser cifrado, Conti no necesariamente cifra el archivo entero, sino que cifra una parte de este.
Otras características de Conti que observamos en la muestra analizada son:
- Capacidad de ejecutarse con ciertos argumentos:
- -p “carpeta” – cifra los archivos de una carpeta en particular
- -m local – cifra la máquina víctima con múltiples hilos
- -m net – cifra las carpetas compartidas con múltiples hilos
- -m all – cifra todo el contenido de la máquina victima como también las carpetas compartidas con múltiples hilos
- -m backups – No implementado (podría estar relacionado con el borrado de archivos de backups)
- -size chunk – modo para cifrar archivos grandes
- -log logfile – No implementado (parece ser que crea un archivo que registra la actividad del malware mientras se ejecuta)
- -nomutex – No crea un mutex
- Eliminar los archivos Shadow copies de la máquina víctima
- Usa los algoritmos criptográficos ChaCha8 y RSA para el cifrado de los archivos
- Posee código basura para complejizar el análisis, pero que no modifica la lógica principal del malware
- Tanto las cadenas de caracteres como los nombres de las API de Windows se encuentran ofuscadas con distintos algoritmos, y las dos ofuscan en tiempo de ejecución
- A los archivos cifrados se les añade la extensión .QTBHS
- No cifra un archivo si termina con alguna de las siguientes extensiones:
- .exe
- .dll
- .lnk
- .sys
- .msi
- .bat
- No cifra los archivos que se llamen readme.txt o CONTI_LOG.txt
- No cifra los archivos que se encuentren en las siguientes carpetas:
- tmp
- winnt
- temp
- thumb
- $Recycle.Bin
- Boot
- Windows
- Trend Micro
- perflogs
- Sophos
- HitmanPro
El proceso de cifrado de un archivo se puede resumir en los siguientes pasos:
- Generar clave aleatoria para el algoritmo de cifrado simétrico ChaCha8
- Cifrar el contenido dependiendo del tamaño del archivo
- Cifrar la clave simétrica con la clave publica RSA, alojada en la sección .data del malware
- Guardar la clave cifrada dentro del archivo modificado
- Agregarle la extensión .QTBHS al archivo modificado
Fuentes:
https://www.welivesecurity.com/la-es/2021/11/29/ransomware-conti-principales-caracteristicas/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.