Cómo la banda de ransomware Conti hackeó y cifró al gobierno costarricense
Recientemente han surgido detalles sobre cómo la banda de ransomware Conti vulneró el gobierno de Costa Rica, mostrando la precisión del ataque y la velocidad de pasar del acceso inicial a la etapa final de cifrado de dispositivos.
Este fue el último ataque de la banda de ransomware Conti antes de que el grupo hiciera la transición a una forma diferente de organización. Actualmente, la banda se basa en varias células que trabajan con otras bandas.
La intrusión de 5 días de Conti en el gobierno de Costa Rica
La banda de ransomware Conti se lanzó en 2020 para reemplazar a Ryuk y rápidamente se volvió infame después de atacar a las víctimas tanto en el sector público como en el privado, incluidos los gobiernos locales en los Estados Unidos, las escuelas y los sistemas nacionales de salud.
El 11 de abril de 2022, Conti inició su última incursión bajo esta marca. Esto ocurrió luego de obtener acceso inicial a la red del gobierno de Costa Rica y participar en actividades de reconocimiento.
Un informe de la compañía de inteligencia cibernética Advanced Intelligence (AdvIntel) detalla los pasos de los hackers rusos. El informe muestra desde el punto de apoyo inicial hasta la exfiltración de 672 GB de datos el 15 de abril y la ejecución del ransomware.
El punto de entrada de los atacantes fue un sistema perteneciente al Ministerio de Hacienda de Costa Rica, al que un miembro del grupo denominado ‘MemberX’ obtuvo acceso a través de una conexión VPN utilizando credenciales comprometidas.
El CEO de Advanced Intelligence, Vitali Kremez dijo que las credenciales comprometidas se obtuvieron del malware instalado en el dispositivo inicial comprometido en la red de la víctima.
Se establecieron más de 10 sesiones de balizas Cobalt Strike en las primeras etapas del ataque, dicen los investigadores de AdvIntel en el informe.
“La infección siguió un flujo de ataque típico en el que los adversarios obtuvieron acceso desde el registro de VPN comprometido mediante la instalación de una forma encriptada de Cobalt Strike dentro de la subred de Costa Rica”.
AdvIntel
Acceso
Después de obtener acceso al administrador del dominio de la red local, el intruso usó la herramienta de línea de comandos Nltest. Usó Nltest para enumerar las relaciones de confianza del dominio. Luego, escanearon la red en busca de archivos compartidos usando las utilidades ShareFinder y AdFind.
Los detalles de AdvIntel sobre la actividad de los atacantes en la red del gobierno de Costa Rica incluyen los comandos específicos utilizados en cada paso.
Según los investigadores, MemberX
luego usó el canal de puerta trasera Cobalt Strike para descargar la salida del archivo compartido a una máquina local.
El atacante pudo acceder a los recursos compartidos administrativos donde cargaron una baliza DLL de Cobalt Strike. Luego la ejecutaron usando la herramienta PsExec para la ejecución remota de archivos.
Usando la herramienta de post-explotación Mimikatz para exfiltrar credenciales, el atacante recopiló las contraseñas de inicio de sesión y los hashes NTDS para los usuarios locales. Esto le permitió obtener “hashes de administrador de empresa, dominio y administrador local en texto plano y que podían ser objeto de fuerza bruta”.
Ataques
Los investigadores dicen que los operadores de Conti aprovecharon Mimikatz para ejecutar un ataque DCSync y Zerologon que les dio acceso a cada host en las redes interconectadas de Costa Rica.
Para asegurarse de no perder el acceso en caso de que los administradores de la red detectaran las balizas Cobalt Strike, la banda actuó astutamente. Conti plantó la herramienta de acceso remoto Atera en hosts con menos actividad de usuarios donde tenían privilegios administrativos.
“Los atacantes hicieron ping en toda la red y volvieron a escanear las confianzas de dominio de la red, aprovechando las credenciales de administrador empresarial con ShareFinder. Asimismo, compilaron una lista de todos los activos corporativos y bases de datos disponibles bajo sus nuevos privilegios elevados”.
AdvIntel
El robo de datos fue posible utilizando el programa de línea de comandos Rclone que puede administrar archivos en múltiples servicios de almacenamiento en la nube. Conti usó esto para cargar datos al servicio de alojamiento de archivos MEGA.
El diagrama del flujo de ataque es el siguiente:
Posterior al ataque: emergencia nacional
Según una nota en el sitio de filtraciones de Conti, la demanda de rescate fue inicialmente de $10 millones. Posteriormente, aumentó a $20 millones cuando Costa Rica se negó a pagar.
Sin embargo, los investigadores de AdvIntel dicen que la comunicación interna entre los miembros de Conti mostró que el precio “estaba muy por debajo del millón de dólares”.
AdvIntel señala que el ataque de Conti al gobierno de Costa Rica “fue relativamente poco sofisticado” y que una red “plana” diseñada combinada con recursos compartidos administrativos mal configurados ayudó al atacante a pasar a las confianzas de dominio.
Luego de este ataque paralizante, Costa Rica se vio obligada el 8 de mayo a declarar una emergencia nacional ya que la intrusión se había extendido a múltiples organismos gubernamentales, y algunas agencias reanudaron sus actividades a principios de junio.
Cierre de Conti
Aproximadamente 10 días después, los líderes de Conti comenzaron a cerrar la operación desconectando parte de la infraestructura. Asimismo, anunciaron que la marca ya no existía.
Es importante mencionar que la notoriedad y el reconocimiento en el estilo de ataque de Conti contribuyeron a la caída del grupo . A medida que Conti perfeccionó su metodología de ataque a un alto grado de competencia, las agencias de defensa y seguridad comenzaron a captar el método de operaciones distintivo de Conti y desarrollar mitigaciones para ellos. Este es un factor que contribuye al surgimiento de tácticas más adaptables y personalizadas que utilizan los sucesores de Conti, como la ingeniería social y los complejos esquemas de phishing.
El paso final ocurrió a fines de junio cuando Conti cerró todos los sitios utilizados para negociar rescates con las víctimas y desconectó el sitio de filtración de datos.
Sin embargo, el grupo ciberdelincuente sigue vivo, bajo una organización diferente donde sus miembros se dispersaron en otras operaciones de ransomware. Los integrantes de la banda se integraron a Quantum, Hive, AvosLocker, BlackCat y Hello Kitty.
Otras operaciones también en el negocio de la extorsión, menos la parte de cifrado de archivos, que también están vinculadas a Conti son Karakurt, BlackByte y el colectivo Bazarcall.