Dos firmas de seguridad cibernética han revelado conjuntamente detalles sobre un afiliado no identificado de la pandilla de ransomware Conti, que afirman ha utilizado la infraestructura de Cobalt Strike para atacar a siete empresas con sede en EE. UU.
La Unidad de respuesta a amenazas (TRU) de eSentire dijo que había estado rastreando al afiliado desde agosto de 2021 y comenzó a compartir los hallazgos con BreakPoint Lab después de descubrir que la empresa estaba investigando de forma independiente al mismo grupo.
Su investigación conjunta ha proporcionado nueva información sobre la filial de Conti, incluidas direcciones IP específicas, nombres de dominio y cuentas de correo electrónico de Protonmail que utiliza, así como detalles de las vulnerabilidades utilizadas para realizar sus ataques.
Esto incluye SonicWall Exploits, Cobalt Strike, el uso de servidores VPS para comando y control (C2), C2Concealer de Forty North y Bring Your Own Virtual Machine (BYOVM).
El primer ataque realizado por el afiliado parece haber sido en julio de 2021, cuando el actor de amenazas lanzó una operación Cobalt Strike que comprometió a cuatro organizaciones financieras a través de su proveedor de tecnología compartida, que había implementado SonicWall como VPN para ayudar a administrar sus entornos de TI.
Aunque los actores de amenazas pudieron eliminar las copias de seguridad almacenadas en la nube antes de implementar el ransomware, las compañías financieras pudieron restaurar desde otras copias de seguridad más recientes. Otras víctimas de la filial han incluido empresas en los sectores ambiental, legal y caritativo.
Según las firmas de seguridad cibernética, el ataque más reciente tuvo lugar el Día de San Valentín de 2022, cuando la TRU interceptó un ataque que aprovechaba la infraestructura de Cobalt Strike en un intento de violar una organización benéfica para niños y luego, horas después, una firma legal.
“La velocidad y la eficacia tanto de las acciones de intrusión como de la gestión de la infraestructura indican un despliegue automatizado a escala de configuraciones personalizadas de Cobalt Strike y sus vectores de acceso inicial asociados”, dijo eSentire en una publicación de blog. “Las opciones de personalización incluyen certificados legítimos, puertos CS no estándar y comando y control maleables”.
Aunque Cobalt Strike es un software legítimo de emulación de amenazas que se utiliza para simulaciones de adversarios y pruebas de penetración de sistemas Windows, las bandas de ransomware y otros ciberdelincuentes han comenzado a utilizar versiones descifradas de la herramienta desarrollada por HelpSystems en los últimos 18 meses.
eSentire dijo en su publicación de blog que Cobalt Strike se estaba volviendo cada vez más popular entre las pandillas de ransomware debido a las “intrusiones organizacionales a gran escala” que permite y la capacidad que brinda para evadir la seguridad de la red y el punto final, esencialmente agrupando la mayoría de las características esperadas en otro malware en un solo lugar.
“Los actores de amenazas solo necesitan entregar Beacon de Cobalt Strike, una puerta trasera altamente configurable que permite a los atacantes controlar de forma silenciosa y remota los puntos finales e inyectar otras herramientas de atacantes, como una carga útil de su vector de acceso inicial elegido, y Beacon señalará a un atacante controlado por Team. Servidor, donde los atacantes pueden iniciar sesión y orquestar intrusiones”, dijo.
“Debido a la relativa simplicidad de Cobalt Strike, permite que los actores de amenazas de nivel inferior actúen en funciones de apoyo a las operaciones de ransomware, lo que permite a las pandillas de ransomware escalar sus operaciones y aumentar la eficiencia”.
TRU de eSentire publicó previamente un informe sobre Conti el 7 de marzo de 2022, advirtiendo tanto a los clientes como a las organizaciones de infraestructura crítica que la pandilla continuaba lanzando ataques contra terminales petroleras, compañías farmacéuticas, fabricantes de alimentos, proveedores de servicios de TI y otros.
Eso precedió a una alerta de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) sobre Conti el 9 de marzo, que advirtió a las organizaciones que revisaran su aviso y aplicaran las mitigaciones recomendadas.
La alerta de CISA decía: “Los actores de amenazas cibernéticas de Conti permanecen activos y los ataques de ransomware de Conti contra organizaciones estadounidenses e internacionales han aumentado a más de 1,000. Los vectores de ataque notables incluyen Trickbot y Cobalt Strike”.
Conti declaró su lealtad al estado ruso inmediatamente después de la invasión ilegal de Ucrania por parte de Vladimir Putin.