Ransomware Conti vende acceso a las redes de sus víctimas

El ransomware sigue siendo una de las principales preocupaciones relacionadas con la ciberseguridad a la que se enfrentan las empresas. Buena prueba de ello es el continuo goteo de empresas que caen víctimas de los ciberdelincuentes y que no solo ven cómo su información queda inaccesible, sino que esta es robada y se amenaza con filtrarla en caso de que no se ceda al chantaje.

Nueva estrategia

Conti, una de las familias de ransomware que más activa ha estado recientemente, parece que ha añadido una nueva forma de presión a sus víctimas. Si se revisan las víctimas recientes de Conti en la web donde los delincuentes publican la información robada, se puede observar que en algunas de ellas ha aparecido un nuevo mensaje.

En este mensaje se indica que se están buscando posibles compradores para venderles un acceso a la red corporativa comprometida, además de la venta de la información previamente robada. Este cambio de estrategia puede significar varias cosas, desde un intento de deshacerse de estos accesos a redes comprometidas vendiéndolos al mejor postor como anticipo de un cese de actividad hasta una medida de presión adicional a las empresas comprometidas para que realicen el pago demandado.

En lo que respecta a la actividad de Conti durante los meses comprendidos entre mayo y agosto de 2021, según los datos obtenidos gracias a la telemetría de ESET podemos observar como esta amenaza se ha situado entre las 10 más detectadas dentro de su categoría.

Consecuencias de los ataques

En cualquier caso, no sería de extrañar que los delincuentes responsables de Conti estén pensando en tomarse un descanso debido al creciente interés por parte de varios gobiernos en incrementar la lucha contra el ransomware. El impacto que han tenido algunos ataques durante este 2021 como los ataques a Colonial Pipeline o empresas usuarias de Kaseya ha convertido la lucha contra este tipo de amenazas en algo prioritario.

Fruto de esta lucha contra el ransomware, hace algunos días recibíamos la noticia de que el grupo REvil había sido objetivo de una operación conjunta realizada entre varios países. En esta operación no solo se habría desactivado la web donde publicaban la información robada de sus víctimas, sino que también habrían podido acceder y dejar fuera de servicio los servidores usados por este grupo.

Curiosamente, tras conocerse esta noticia los responsables de Conti publicaron un extenso anuncio en su web de filtraciones donde mostraban su apoyo a REvil y se quejaban de las acciones tomadas por las organizaciones estadounidenses responsables de su desmantelamiento.

Independientemente de este mensaje y de la caída de REvil, Conti ha seguido su actividad, infectando más empresas, incluyendo una farmacéutica española. Ahora y tras el cambio de estrategia, resultará interesante ver cómo evolucionan estos ataques en el futuro cercano y si hay algún parón de actividad.

Conclusión

Los incidentes relacionados con el ransomware siguen a la orden del día y no tienen visos de desaparecer a corto plazo, por lo que si queremos proteger la información confidencial de nuestra empresa resulta vital que adoptemos las medidas de seguridad necesarias, además de contar con una solución de seguridad adaptada a nuestras necesidades y que sea capaz de detectar y neutralizar estas amenazas antes de que causen graves daños.

Josep Albors

Evolución de los ataques RDP a nivel mundial y en España durante los últimos meses