Conti_Ransomware

Conti Ransomware, el ciberataque que mantiene alerta a América Latina

Conti Ransomware, el grupo ruso que hackeó en abril pasado al gobierno de Costa Rica, planea atacar próximamente a Perú, Chile y México, entre otros países de Latinoamérica.

Costa Rica fue víctima de un severo ciberataque en abril que obligó al gobierno a deshabilitar varios servicios informáticos, especialmente desde el Ministerio de Hacienda, afectando labores de aduanas, impuestos y múltiples sistemas financieros.

Luego de semanas de batalla contra el atentado, el gobierno del recién asumido presidente, Rodrigo Chaves, estableció el estado de Emergencia Nacional desde el 8 de mayo.

Todo indica que los responsables del ataque son hackers de la banda Conti Ransomware, que se especializa en extraer datos sensibles de agencias gubernamentales y atentar contra plataformas públicas.

¿Qué es Conti Ransomware?

Es conocida como una organización internacional, con sede en Rusia, que amplió sus operaciones criminales a Latinoamérica, incluyendo amenazas públicas orientadas a la región.

Conti fue detectado por primera vez en 2019 y fue uno de los grupos cibercriminales más activos en 2021. 

En noviembre de ese año, el número de víctimas acumuladas desde sus inicios ascendió a  600.

Entre los ataques de este grupo que más trascendieron destaca el que impactó en 2021 al sistema de salud de Irlanda y que provocó la interrupción de sus operaciones. 

Conti también atacó a otras 22 instituciones de salud de Estados Unidos, así como a los sectores manufacturero, alimentación, financiero, bancario, tecnología y construcción.

Sus más recientes operaciones incluyen la publicación de los datos robados de la Dirección Nacional de Inteligencia de Perú y la permanente actualización sobre su ataque en curso hacia el gobierno de Costa Rica, que representan más de 672 GB de datos robados.

Además, en febrero pasado, Conti prometió atacar a los enemigos del Kremlin si respondían a la invasión de Rusia a Ucrania.

La visión de un experto

Germán Fernández, director de operaciones de la chilena CronUp Ciberseguridad, explicó: «Estos ciberdelincuentes utilizan un tipo de ataque informático que consiste en la instalación de un software malicioso que secuestra archivos e información sensible y, en ocasiones, equipos o dispositivos móviles enteros. El objetivo de los hackeos es de tipo extorsivo», puntualizó.

Eso fue lo que sucedió en el caso de Costa Rica donde se solicitó un rescate de US$ 10 millones a cambio de no liberar la información robada del Ministerio de Hacienda, la que contiene datos sensibles como las declaraciones de impuestos de ciudadanos y empresas que operan en ese país.

Entre los principales vectores de acceso inicial que utiliza Conti aparecen los correos de phishing, servicios RDP expuestos a Internet y explotación de vulnerabilidades. 

En el caso de los correos de phishing, se observó el uso de documentos adjuntos maliciosos.

Gobiernos en alerta

El plan orquestado contra la región incluye otros grupos de ransomware que exploran y atacan objetivos en Latino América, identificados como BlackCat (o ALPHV), ViceSociety, RansomEXX, Hive y AvosLocker, entre otros. 

Por ende, el representante de CronUp llamó a reforzar los protocolos de seguridad en todos los gobiernos para proteger los sistemas e información ante la probabilidad de infección y posterior secuestro de datos.

Los movimientos del grupo cibercriminal efectivamente activaron a diversas organizaciones. 

Por ejemplo, la unidad de investigación de la startup especializada en ciberseguridad Silikn emitió una alerta en la cual señala que el grupo cibercriminal podría vulnerar las dependencias del gobierno de México en el transcurso de los siguientes días.

Debido al perfil que mantuvo Conti y a las vulnerabilidades detectadas, las instituciones de gobierno en México que podrían ser atacadas en el transcurso de las siguientes dos semanas son: Instituto Mexicano del Seguro Social, Secretaría de Salud, Secretaría de Hacienda y Crédito Público, Petróleos Mexicanos, Banco de México, Secretaría de Bienestar y Fondo Nacional de la Vivienda para los Trabajadores, en principio.

Según el análisis de Silikn, el grupo se mantiene muy activo en América Latina y modificó sus estrategias y herramientas para evadir las defensas de las organizaciones y buscar obtener más ingresos.

Estados Unidos ofreció 15 millones de dólares por datos de Conti

La situación escaló también a Estados Unidos, ya que el viernes pasado el Gobierno ofreció una recompensa de hasta US$ 15 millones por información sobre el grupo criminal ruso.

La recompensa comprende US$ 10 millones por la identificación o ubicación de los líderes del grupo, y US$ 5 millones por información que resulte en el arresto de cualquiera que conspire con Conti.

De acuerdo al portavoz del Departamento de Estado, Ned Price, el FBI estima que más de 1.000 víctimas del grupo Conti abonaron un suma de más de US$ 150 millones en pagos de ransomware.