¿Hay una guerra con los ciberdelincuentes? Pareciera que sí, aunque los especialistas en seguridad informática prefieren hablar con símiles de películas como La Guerra de las Galaxias o del fútbol, con equipos rojos y azules.
El equipo de investigadores de ciberseguridad de la firma Akamai publicó los resultados de su investigación sobre el grupo de hackers Conti, conocido en Costa Rica desde que atacó los sistemas del Ministerio de Hacienda a mediados de abril anterior, así como a otras entidades.
Los investigadores revisaron y analizaron la documentación interna que se filtró de Conti para comprender las herramientas y técnicas que utiliza un grupo de ransomware moderno.
El ransomware es un software maligno que encripta los datos de una organización, empresa o institución, y los extrae para fines extorsivos. Un ataque de un ransomware impide que se puedan utilizar los sistemas usuales en las empresas o entidades.
Los especialistas estiman que, tras un ataque de este tipo, se puede durar hasta casi un mes para volver a operar normalmente. En el caso de Hacienda, se contabilizan ya más de 50 días.
Este 31 de mayo, la Caja Costarricense de Seguro Social informó que sufrió un hackeo en la madrugada y que están realizando los análisis correspondientes. La entidad indicó que los datos de sistemas críticos no fueron comprometidos y que desconoce cuándo serán rehabilitados.
El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) respondió que tiene conocimiento del hackeo a la Caja y que, por el momento, están en la etapa de investigación técnica del caso.
El ataque a la Caja no ha sido reivindicado por ningún grupo de hackers.
Lo que se encontró
Akamai Security indica que Conti es una banda de ransomware con unos ingresos estimados de casi $200 millones y se considera uno de los grupos de ransomware más exitosos del mundo.
El análisis revela una lista de técnicas y procedimientos concretos (TTP) e indicadores de riesgo (IoC) empleados por el grupo, así como posibles técnicas de mitigación que pueden utilizar los equipos azules. Estos escenarios de ataque son multienfoque y están orientados al detalle.
Conti encontró una fórmula que sigue funcionando: recopilar credenciales, propagar, repetir. La documentación de ataque muestra un fuerte enfoque en la propagación de la red “manos en el teclado”. Akamai advierte que esto denota la necesidad de una protección sólida contra el movimiento lateral y su papel fundamental en la defensa contra el ransomware.
Los TTP son ya conocidos, pero resultan altamente efectivos. Se trata de un recordatorio del arsenal que está a disposición de grupos de ataque como Conti, y puede dar una idea de las herramientas que suelen utilizar otros grupos. El estudio de estos TTP ofrece a los equipos de seguridad una “primicia” en el modus operandi de los atacantes en un esfuerzo por estar mejor preparados contra ellos.
El énfasis del grupo en su documentación sobre el hackeo y la propagación práctica, en lugar del cifrado, debe impulsar a los defensores de la red a enfocarse en esas partes de la intrusión, en lugar de centrarse en la fase de cifrado.
En mayo del 2021, el ransomware Conti realizó también un ataque contra el sistema nacional de Salud irlandés y con una millonaria extorsión por la devolución de los sistemas vulnerados y los datos robados (encriptados). En Irlanda la situación fue solventada en una semana.
Recientemente otro grupo de ciberdelincuentes de un servidor ubicado en Lituania (Hive y Cobalt Strike) atacaron a una empresa pública de Navarra, España, que gestiona los servicios en línea de las instituciones regionales y provocó la caída del correo electrónico, las webs municipales o las sedes electrónicas de 172 entidades.
Cómo atacan
Al igual que muchos grupos de ciberdelincuencia modernos, Conti opera como un negocio, con un con chief executive officer (CEO) y capacidad para obtener ganancias (algunos operadores han declarado ganancias personales de casi $100.000), aumentar su operación y agregar nuevos operadores.
Como parte de su operación comercial, Conti emplea un “proceso de incorporación” para nuevos operadores o colaboradores, regulado por manuales que detallan su metodología y modus operandi. Los manuales también fueron analizados por Akamai Securty.
“Encontramos información importante sobre cómo se propaga Conti dentro de las redes, qué objetivos seleccionan y qué herramientas utilizan”, indica Akamai.
Conti es conocido por ser un grupo de ataque de doble extorsión: exfiltra o extrae y cifra datos para garantizar el pago.
La información extraída se utiliza para chantajear a una empresa para que pague el rescate o se venden al mejor postor. De esta manera, incluso si hay copias de seguridad disponibles, las empresas se sienten presionadas a pagar para evitar los daños causados por una fuga.
El método fue popularizado inicialmente por el grupo de ransomware Maze, que se cerró supuestamente en 2020, siendo reclutados muchos de sus miembros en Conti.
Conti incluso funciona con una especie de calendario de publicaciones: una vez que han alertado a la organización de la extorsión, van publicando cada vez más de los datos que han exfiltrado, mientras la víctima siga sin pagarlos.
El grupo no parece tener una pauta de precio de rescate predefinida, según algunos registros de chat filtrados que muestran a los miembros del grupo analizando el precio de rescate para las víctimas.
Akamai indica que no vieron documentación ni manuales sobre las prácticas de acceso inicial. Sin embargo, la firma describió cómo actúa.
Paso a paso de un hacker
Las indicaciones de Conti a sus colaboradores son:
—Consultar la estructura del dominio (mediante adfind, net view, etc.) y tratar de elevar los derechos del sistema.
—Si es posible envenenar la caché ARP e interceptar los hashes de contraseñas de otras máquinas de la red o volcar los hashes de contraseñas locales. Un hash es un algoritmo que se utiliza para codificar contraseñas y otro texto sin formato en texto ilegible para almacenar y transmitir.
—Si eso no es posible, intentar acceder a otras máquinas de la red, específicamente acceder a su recurso compartido. Si es así, saltar ahí obtener los derechos del sistema.
—Buscar vulnerabilidades en la red e intentar utilizar Kerberoast (un protocolo de árbitro entre el cliente y el servidor) para obtener más hashes de contraseñas. Para redes pequeñas, también es posible intentar forzar las contraseñas de usuario
Akamai llama la atención de que en los documentos de Conti capturados se hace un énfasis especial en probar los límites de bloqueo de fuerza bruta antes de intentarlo. “Explorar la red para buscar otras rutas de propagación”, es una de las indicaciones.
Qué hacen, después
El objetivo de Conti es alcanzar el controlador de dominio (DC) a través del robo de credenciales (contraseñas y claves) para luego proceder a la expansión.
Akamai indica que, dado que el proceso parece ser en gran medida manual, los operadores de Conti logran un nivel de discreción en la elección de objetivos.
Una vez que se encuentran las credenciales del administrador del dominio, los operadores de Conti tienen acceso a una serie de activos críticos:
—Registros de inicio de sesión de la mayoría de la red para analizar el comportamiento del usuario
—Registros de DNS para la mayoría del dominio, que se pueden utilizar para inferir el uso
—Hashes de contraseñas
—Puntos focales para el movimiento lateral.
Akamai advierte que este enfoque en el DC refuerza la idea de que la fase de propagación de la red es crucial para el ataque. Desde el DC, los atacantes pueden extraer la mayoría (si no todas) de las credenciales que necesitan para acceder a toda la red.
Conti, destaca Akamai, alienta a crear puertas traseras hacia el exterior de los servidores, ya que un DC a menudo se monitoriza mucho más. Aunque alcanzar el DC es fundamental para su éxito, también podría frustrar por completo sus esfuerzos si son detectados.
Los atacantes suelen obtener mucha información sobre la propia red y las “joyas de la corona”, recursos compartidos de archivos de red y otras máquinas que contienen datos que se pueden exfiltrar tales como correos electrónicos, listas de direcciones e información de contacto, bases de datos, código fuente, información de cuentas, documentos de diseño, contraseñas y credenciales de otras redes y carteras digitales.