spot_img
jueves, abril 18, 2024
spot_img

Kaspersky lanza herramienta para descifrar ransomware basado en Conti

Autor

Categoria

 Kaspersky ha publicado una nueva herramienta de descifrado para ayudar a las víctimas de una modificación de ransomware basada en el código fuente de Conti, filtrado previamente. Conti es una banda de ransomware que ha dominado la escena del cibercrimen desde 2019, cuyos datos, incluido el código fuente, se filtraron en marzo de 2022 tras un conflicto interno provocado por la crisis geopolítica en Europa. La modificación descubierta fue distribuida por un grupo de ransomware desconocido y ha sido utilizada contra empresas e instituciones estatales.

 

A fines de febrero de 2023, los expertos de Kaspersky descubrieron una nueva porción de datos filtrados que se publicaron en foros. Después de analizar los datos, los cuales contenían 258 claves privadas, código fuente y algunos descifradores pre-compilados, Kaspersky lanzó una nueva versión del descifrador público para ayudar a las víctimas de esta modificación del ransomware Conti.

Conti apareció a fines de 2019 y estuvo muy activo durante 2020, representando más del 13% de todas las víctimas de ransomware durante este período. Sin embargo, hace un año, cuando se filtró el código fuente, varias bandas criminales crearon múltiples modificaciones del ransomware Conti y las utilizaron en sus ataques.

La variante del malware, cuyas claves se filtraron, había sido descubierta por especialistas de Kaspersky en diciembre de 2022. Esta cepa fue utilizada en varios ataques contra empresas e instituciones estatales.

Las claves privadas filtradas se encuentran en 257 carpetas (solo una de estas carpetas contiene dos claves). Algunas de ellas contienen descifradores generados previamente y varios archivos ordinarios, como documentos, fotos, etc. Se presume que estos últimos son archivos de prueba, un par de archivos que la víctima envía a los atacantes para asegurarse de que los archivos puedan ser descifrados.

Treinta y cuatro de estas carpetas tienen nombres explícitos de empresas y agencias gubernamentales. Suponiendo que una carpeta corresponde a una víctima y que los descifradores se generaron para las víctimas que pagaron el rescate, se puede sugerir que 14 de las 257 víctimas pagaron el rescate a los atacantes.

Después de analizar los datos, los expertos dieron a conocer una nueva versión del descifrador público para ayudar a las víctimas de esta modificación del ransomware Conti. El código de descifrado y las 258 claves se agregaron a la última versión del utensilio RakhniDecryptor 1.40.0.00 de Kaspersky. Además, la herramienta de descifrado se ha agregado al sitio “No Ransom” de Kaspersky

Para proteger a su empresa contra los ataques de ransomware, Kaspersky recomienda:

  • No exponga servicios de escritorio remoto (como RDP, por sus siglas en inglés) a las redes públicas, a menos que sea absolutamente necesario, y siempre use contraseñas seguras para ellos.
  • Instale de inmediato los parches disponibles para las soluciones VPN comerciales que dan acceso a los empleados que trabajan a distancia y actúan como puertas de enlace en su red.
  • Concentre su estrategia defensiva en la detección de movimientos laterales y la filtración de datos a Internet. Preste especial atención al tráfico saliente para detectar conexiones de ciberdelincuentes.
  • Realice periódicamente copias de seguridad de los datos. Asegúrese de poder acceder rápidamente a estos en caso de emergencia cuando sea necesario.
  • Use soluciones como Kaspersky Endpoint Detection and Response Expert y el servicio Kaspersky Managed Detection and Response que ayudan a identificar y detener el ataque en las primeras etapas, antes de que los atacantes alcancen sus objetivos finales.

 

Autor