Sophos ha informado que sus investigadores han identificado que los atacantes detrás del ransomware Conti han publicado datos robados de al menos 180 organizaciones en los últimos meses.
La compañía de ciberseguridad ha revelado cómo actúa este tipo de ransomware, al que denomina el sucesor del conocido Ryuk. Según comienza indicando, el ransomware Conti es un "ataque de cifrado de datos y solicitud de rescates que se ejecuta de forma manual por los ciberdelincuentes y que utiliza técnicas de doble extorsión sobre sus víctimas".
"Tras acceder a las redes empresariales, los atacantes roban los datos de sus objetivos antes de cifrarlos y después amenazan con publicar la información robada en la página web 'Conti News' si la empresa no paga el rescate", explica.
Sophos considera al ransomware Conti como "una amenaza global que afecta principalmente a empresas de Norteamérica y Europa Occidental". Asimismo, subraya que aunque desde su primera aparición se le identificó como el sucesor de Ruyk,se ha detectado una diferencia crucial en la banda detrás del ransomware Conti. "Los cibercriminales que lanzan este tipo de ataque utilizan técnicas de 'doble extorsión', amenazando con filtrar los datos robados para obligar a las víctimas a pagar el rescate".
A qué tipo de empresas ataca el ransomware Conti
A partir de la información publicada por los ciberdelincuentes en la página web Conti News, Sophos ha creado un "perfil victimológico" para descubrir qué tipo de empresas están siendo atacadas por esta familia de ransomware. Así, ha determinado que las compañías más afectadas hasta ahora por esta amenaza pertenecen a los sectores de retail (26), industria (25), construcción (20) y administraciones públicas (14). No obstante, advierte que este tipo de ataques pueden dirigirse a empresas de cualquier industria. De hecho, el grupo Conti se atribuyó la responsabilidad del ataque sufrido por la Agencia de Protección del Medio Ambiente de Escocia (SEPA), que terminó con la publicación de miles de datos robados por negarse a pagar un rescate.
"En ataques dirigidos en los que hay personas a los mandos, los adversarios pueden adaptarse y reaccionar a situaciones cambiantes en tiempo real", afirma Peter Mackenzie, Manager en Sophos Rapid Response. "En el caso del último ataque del ransomware Conti identificado por Sophos, los atacantes accedieron simultáneamente a dos servidores. El equipo de TI de la empresa atacada detectó el ataque y desactivó uno de los servidores, creyendo que habían parado el ataque a tiempo. Sin embargo, los ciberdelincuentes simplemente cambiaron de servidor y continuaron su ataque desde el segundo servidor vulnerado. Tener un ‘Plan B’ es un enfoque habitual en los ciberataques dirigidos por personas y sirve como recordatorio de que, solo porque una actividad sospechosa en nuestra red se detenga, no significa que el ataque haya terminado", declara el experto en ciberseguridad.
La responsabilidad de los administradores de TI
Mackenzie también ha subrayado que en las empresas que no cuentan con un equipo especializado en seguridad, los administradores de TI son los que están en primera línea frente a los ataques de ransomware. "Son ellos los que llegan al trabajo una mañana y encuentran todo bloqueado junto a una nota de rescate en las pantallas de los ordenadores, a veces seguida de correos electrónicos e incluso llamadas amenazantes".
Cómo reaccionar ante un ataque de ransomware
En su comunicado, los expertos de Sophos también han aportado una lista de acciones básicas para ayudar a los responsables de TI a reaccionar ante un ataque de ransomware como Conti y para ofrecerles vías en las que obtener apoyo y sentar las bases para un futuro seguro:
- Apagar el Protocolo de Escritorio Remoto (RDP) conectado a Internet para impedir que los cibercriminales accedan a las redes
- Si necesita acceder a un RDP, hacerlo a través de una conexión VPN.
- Aplicar una política de seguridad por capas para prevenir, proteger y detectar ciberataques, incluyendo las capacidades de detección y respuestas en endpoints (EDR) y equipos de respuesta gestionada frente a incidentes de seguridad, que vigilan las redes empresariales 24/7.
- Informarse sobre los cinco indicadores tempranos de la presencia de ciberatacantes para detener los ataques de ransomware.
- Contar con un plan eficaz de respuesta a incidentes y actualizarlo cuando sea necesario.