El ataque a organismos gubernamentales de Costa Rica fue el último que realizó el grupo de ransomware Conti antes de anunciar el cierre de sus operaciones.
El ciberataque del ransomware Conti a organismos gubernamentales de Costa Rica en abril de 2022 tuvo gran repercusión por el alcance y las consecuencias del incidente. Hablamos en profundidad de esto en un episodio del podcast Conexión Segura, donde también explicamos por qué este último ataque de Conti antes de su cierre fue un hecho sin precedentes. Y si bien hasta el momento no se habían publicado detalles de cómo fue que se produjo el ataque que terminó afectando al menos a ocho entidades y que derivó en que se declare la emergencia nacional en el país, investigadores revelaron detalles de cómo fue que Conti logró acceso a la red del Ministerio de Hacienda y los pasos que dieron los criminales hasta ejecutar el ransomware, extorsionar al gobierno y acceder a las redes de otros organismos.
Vale la pena mencionar que los mecanismos utilizados por Conti en este ataque son los mismos que viene utilizando desde hace bastante tiempo y que hemos explicado en el artículo principales características del ransomware Conti. Esto demuestra que los actores maliciosos seguirán recurriendo a las mismas estrategias hasta que las organizaciones no tomen nota de las técnicas y herramientas que utilizan estos grupos, pero también sirve como ejemplo para cuestionar esta idea que muchos tienen de que los cibercriminales siempre utilizan métodos y técnicas sofisticadas para comprometer a sus víctimas.
En un reporte publicado esta semana por AdvIntel, investigadores afirmaron que fue un proceso de cinco días (comenzó el 11 de abril) desde que los atacantes lograron el acceso inicial a la red, realizaron tareas de reconocimiento y exfiltración de información, hasta finalmente ejecutar el código maliciosos.
Un miembro del grupo, denominado MemberX, logró acceder a la red del Ministerio de Hacienda y obtener permisos de administrador de dominio utilizando credenciales previamente comprometidas de una conexión VPN. El robo de estas credenciales se logró a través de la instalación de una forma cifrada de la herramienta de pentesting legítima Cobalt Strike en una sub red del organismo.
Una vez dentro de la red utilizaron la herramienta de línea de comando nltest para obtener una lista de los controladores de dominio del organismo y la relación de confianza entre ellos. Luego, escanearon la red en busca de información sensible a través de la utilidad ShareFinder y AdFind para finalmente descargar en su máquina local el resultado de la herramienta File Share a través de un canal de CobaltStrike.
Además, según explican, esta forma de ataque permitió a los adversarios acceder a carpetas compartidas con permisos de administrador y ejecutar Cobalt Strike beacon de manera remota utilizando la herramienta PsExec y así lograr acceso local con permisos de administrador. Después desplegaron Mimikatz para hacer un volcado de contraseñas y hashes NTDS desde las máquinas de usuarios locales y así obtener hashes de administradores locales, de dominio y Enterprise.
Las credenciales Enterprise fueron utilizadas para llevar adelante ataques de DCSync y de Zerologon, lo que les permitió acceder a distintos host interconectados a la red del organismo gubernamental. Para establecer persistencia cargaron la herramienta de administración remota Altera a través de scripts MSI, mientras que para llevar adelante la exfiltración de los archivos utilizaron el software Rclone contactando la salida de esta herramienta con el servicio de almacenamiento en la nube MEGA Share.
Si bien Conti, que fue uno de los grupos de ransomware más activos entre 2020 y 2021, dejó de operar con ese nombre, los actores detrás de esta banda tienen vínculos con otros grupos de ransomware en actividad, con lo cual no es de extrañarse que sigan utilizando los mismos mecanismos para comprometer a nuevas organizaciones. Por lo tanto, recomendamos a los profesionales de TI de empresas y organizaciones verificar los mecanismos utilizados por los atacantes y comprobar que las medidas de seguridad que se aplican en el interior de la organización sean las correctas.
Fuente info
Autor: Juan Manuel Harán
Lápiz para Tablet, Zspeed Lápiz iPad con Magnética Compatible con iPad/iPad Pro/iPad Air/iPhones/Samsung/Huawei y Otro Tabletas , iPad Pencil para Dibujar, Escribir(con 3 Puntas de Repuesto)
24,99 €
Lenovo ThinkCentre M93p USDT Tiny Quad Core i5-4590T - Ordenador de sobremesa (256GB Disco Duro SSD, 8 GB de Memoria, Win 10 Pro, Wi-Fi (Reacondicionado)
HUAWEI MateBook D15 - Portátil ultraligero 15,6" FullHD (Intel Core i5-1155G7, 8GB RAM, 512GB SSD, Windows 11 Home) Plata (Mystic Silver) - Teclado QWERTY Español
649,00 €
2022 Apple Ordenador Portátil MacBook Pro con Chip M2 de Apple: Pantalla Retina de 13 Pulgadas, 8GB de RAM, 256 GB SSD de Almacenamiento SSD, Touch Bar, Color Gris Espacial
UGREEN Cable USB C a USB C 60W, Cable USB Tipo C, Cable USB C Carga Rápida Nylon Trenzado Compatible con MacBook Pro, MacBook Air, iPad Pro 2022, Galaxy S22 S21, Xiaomi Mi 11, Huawei P40 (1 Metro)
HP Cartuchos de tinta originales 3YM92AE 303, negro y tricolor, multipack
Splatoon 3
Just Dance 2022 SWITCH
Lenovo IdeaPad Duet Chromebook - Pantalla de 10.1" FullHD (MediaTek P60T, 4 GB de RAM, Almacenamiento de 128 GB, Chrome OS, WiFi+BT) Lenovo Keyboard Pack, Azul/Gris - Teclado QWERTY Español, Gris
229,38 €
NINGKPOW Cable Cargador iPhone 1M [MFi Certificado] Cable iPhone Nylon Trenzado Cable Lightning Carga Rápida para iPhone 13 12 11 XS MAX XR X 8 Plus 7 Plus 6S 6 Plus 5 5S 5C SE - Gris
Reloj Inteligente Hombre, 1.69'' Smartwatch Hombre Mujer 24 Deportivo Modos IP68 Impermeable Reloj Deportivo con Pulsómetro Monitor de Sueño Monitores Cronómetros Calorías Podómetro para Android iOS
Samsung EP-TA800NBEGEU - Cargador de Pared 25W USB-C, Color Negro
Hp Elite 8300 - Ordenador de sobremesa (Intel Core i5-3470, 8GB de RAM, Disco SSD de 240GB, Lector DVD, Windows 10 PRO ES 64) - Negro (Reacondicionado)
upHere 120mm Ventilador para ordenador - Ventilador de PC silencioso 3 Pack (Negro)12BK3-3
10,99 €
Xenoblade Chronicles 3
Amazfit Bip U Smartwatch Fitness Reloj Inteligente 60+ Modos Deportivos 1.43" Pantalla táctil a Color Grande 5 ATM (SpO2) Oxígeno en Sangre Frecuencia Cardíaca (Negro)
Brother TN2420 Tóner negro original de larga duración para las impresoras: HLL2310D, HLL2350DW, HLL2370DN, HLL2375DW, DCPL2510D, DCPL2530DW, DCPL2550DN, MFCL2710DW, MFCL2730DW, MFCL2750DW
