Conti (ransomware)

Conti es un ransomware que se ha observado desde 2020. ^[1]^[2] Se sabe que todas las versiones de Microsoft Windows están afectadas. ^[1]

Detalles de la amenaza

El software utiliza su propia implementación de AES-256 que utiliza hasta 32 subprocesos lógicos individuales, lo que lo hace mucho más rápido que la mayoría de ransomware. ^[1] El método de entrega no está claro. ^[1]

La banda detrás de Conti ha operado un sitio desde el cual puede filtrar documentos copiados por el ransomware desde 2020. ^[3] La misma banda ha operado el ransomware Ryuk . ^[3] El grupo se conoce como Wizard Spider y tiene su sede en San Petersburgo , Rusia . ^[4]

Comportamiento

Una vez en un sistema, intentará eliminar las instantáneas de volumen . ^[1] Intentará terminar una serie de servicios utilizando Restart Manager para asegurarse de que puede cifrar los archivos que utilizan. ^[1] Deshabilitará el monitor en tiempo real y desinstalará la aplicación Windows Defender. El comportamiento predeterminado es cifrar todos los archivos en unidades de bloque de mensajes de servidor locales y en red , ignorando los archivos con extensiones DLL , .exe , .sys y .lnk . ^[1] También puede apuntar a unidades específicas, así como a direcciones IP individuales. ^[1]^[2]

Remediación

Según NHS Digital, la única forma garantizada de recuperación es restaurar todos los archivos afectados desde su copia de seguridad más reciente. ^[1]

Investigar

VMware Carbon Black ha publicado un informe técnico sobre el ransomware. ^[2]^[5]

Objetivos

Ver también

Ciberataque de Health Service Executive : implica una nueva variante del ransomware.
Wizard Spider - grupo conocido por usar el software

Referencias

^ a b c d e f g h i "Conti Ransomware" . NHS Digital . NHS Digital . 2020-07-09 . Consultado el 14 de mayo de 2021 .
↑ a b c Cimpanu, Catalin (9 de julio de 2020). "Conti ransomware utiliza 32 subprocesos de CPU simultáneos para un cifrado ultrarrápido" . ZDNet . Consultado el 14 de mayo de 2021 .
↑ a b Cimpanu, Catalin (25 de agosto de 2020). "Conti (Ryuk) se une a las filas de bandas de ransomware que operan sitios de fuga de datos" . ZDNet . Consultado el 15 de mayo de 2021 .
↑ a b c d Corfield, Gareth (14 de mayo de 2021). "Los hospitales cancelan las citas para pacientes ambulatorios como servicio de salud irlandés golpeado por ransomware" . El registro . Consultado el 15 de mayo de 2021 .
↑ Baskin, Brian (8 de julio de 2020). "Descubrimiento de amenazas TAU: Conti Ransomware" . VMware Carbon Black . Consultado el 14 de mayo de 2021 .
^ "Hospitales de Waikato afectados por incidente de seguridad cibernética" . Radio Nueva Zelanda . 18 de mayo de 2021 . Consultado el 18 de mayo de 2021 .

[nhs-digital-conti-1] ^ a b c d e f g h i "Conti Ransomware" . NHS Digital . NHS Digital . 2020-07-09 . Consultado el 14 de mayo de 2021 .

[zdnet-conti-ransomware-uses-32-simultaneous-cpu-threads-2] Cimpanu, Catalin (9 de julio de 2020). "Conti ransomware utiliza 32 subprocesos de CPU simultáneos para un cifrado ultrarrápido" . ZDNet . Consultado el 14 de mayo de 2021 .

[zdnet-conti-3] Cimpanu, Catalin (25 de agosto de 2020). "Conti (Ryuk) se une a las filas de bandas de ransomware que operan sitios de fuga de datos" . ZDNet . Consultado el 15 de mayo de 2021 .

[tr-ireland_hse_ransomware_hospital_conti_wizardspider-4] Corfield, Gareth (14 de mayo de 2021). "Los hospitales cancelan las citas para pacientes ambulatorios como servicio de salud irlandés golpeado por ransomware" . El registro . Consultado el 15 de mayo de 2021 .

[vmware-carbon-black-conti-5] Baskin, Brian (8 de julio de 2020). "Descubrimiento de amenazas TAU: Conti Ransomware" . VMware Carbon Black . Consultado el 14 de mayo de 2021 .

[6] "Hospitales de Waikato afectados por incidente de seguridad cibernética" . Radio Nueva Zelanda . 18 de mayo de 2021 . Consultado el 18 de mayo de 2021 .

[1]