Blog | Sentria by NETDATA

Navegando a través de la Red Oscura del Grupo Conti y Wizard Spider

Escrito por Netdata Cybersecurity | Oct 6, 2023 9:25:11 PM

El ciberespacio se ha convertido en un campo de batalla invisible donde actores como el Grupo Conti y Wizard Spider han tejido una red de operaciones ilícitas, centrando sus esfuerzos en ataques de ransomware sofisticados y perjudiciales.

A través de un modelo de negocio basado en Ransomware as a Service (RaaS), estos grupos han infligido un daño significativo a organizaciones y sistemas en todo el mundo.

En este artículo, exploraremos algunas de sus prácticas más recurrentes y una serie de recomendaciones para prevenir una ciberataque. 

 

Desenmascarando las Operaciones del Grupo Conti

Vinculación con Wizard Spider

El Grupo Conti, conocido por sus tácticas astutas y herramientas maliciosas, ha sido vinculado al notorio grupo Wizard Spider. Este último ha desarrollado un modelo de negocio que capitaliza los ataques de ransomware, proporcionando RaaS a otros actores de amenazas y facilitando una ola de ciberataques a nivel global. La interconexión entre estos grupos y sus operaciones ha sido un punto focal en la ciberseguridad, desentrañando las capas de sus operaciones ilícitas y estrategias de ataque.

El Servicio Sentria 911 y la Variante del Grupo Conti

Nuestra investigación ha identificado una variante del Grupo Conti operando dentro de los servicios de Sentria 911. La atribución de un ataque específico a esta variante se basa meticulosamente en los indicadores recopilados y el mensaje de rescate descubierto durante el incidente. La profundidad y sofisticación del ataque subrayan la necesidad de una comprensión integral y de estrategias de mitigación robustas para contrarrestar tales amenazas.

 

¿Sabes qué hacer en caso de un ciberataque?

 

Profundizando en la Técnica y Estrategia del Ataque

Infiltración y Movimiento Lateral

El vector inicial del ataque revela que los atacantes ganaron acceso a la red a través de servicios publicados en sistemas IIS. A pesar de los desafíos, como los logs cifrados y la falta de información sobre las técnicas utilizadas para penetrar en la red, se ha identificado que, tras la infiltración, los atacantes crearon cuentas de usuario locales y robaron credenciales para asegurar su persistencia y facilitar movimientos laterales dentro de la infraestructura.

Análisis de Malware y TTPs

Un análisis detallado de archivos maliciosos, incluyendo svchost.exe, revela tácticas de ocultación y evasión, indicando que los atacantes están empleando estrategias para esquivar defensas y detecciones de antivirus. La ejecución del malware desde el directorio “temp” y el uso de strings específicos, como “-ksvc”, activan una secuencia de actividades maliciosas, incluyendo actividades de espera para evadir sandboxing.

Caso de estudio: un ataque de Ransomware en Detalle

Cronología y Tácticas del Ataque

Desde la infiltración inicial hasta el cifrado de archivos, el ataque fue meticulosamente orquestado. El malware no solo cifró los archivos, sino que también estableció una persistencia en el sistema, asegurando que su ejecución se mantuviera incluso después de reinicios del sistema y nuevas sesiones.

Análisis de Archivos Maliciosos

El análisis de otros archivos maliciosos, como time.exe y w3wp.exe, proporciona una visión integral de las capacidades del atacante y las funciones de cada archivo malicioso, desde el command and control hasta la exfiltración de información.

 

Mitigación, Respuesta a Incidentes y Recomendaciones

Estrategias de Mitigación y Mejores Prácticas

La implementación de estrategias de mitigación, como el filtrado de aplicaciones y la aplicación de Firewalls de próxima generación, es crucial para proteger los servicios expuestos a Internet y para agregar una capa de protección contra ataques.

Herramientas y Soluciones de Ciberseguridad

La adopción de herramientas XDR y la implementación de un monitoreo 24/7 son esenciales para correlacionar y aplicar machine learning e inteligencia artificial a diversas fuentes de información, aumentando la eficacia y rapidez en la detección y respuesta a los ataques.

 

Descubre más sobre las amenazas del Ciberespacio

🔍 Adéntrate más en nuestra investigación exhaustiva sobre el Grupo Conti y Wizard Spider. Descarga nuestro informe completo en PDF y descubre análisis técnicos detallados, indicadores de compromiso y estrategias de mitigación para proteger tu organización contra amenazas cibernéticas avanzadas. 🛡️🌐

 

Conclusión

La ciberseguridad es un viaje continuo de adaptación y fortalecimiento frente a las amenazas emergentes. La exploración de este caso de ransomware proporciona insights valiosos sobre las tácticas, técnicas y procedimientos de los atacantes, y subraya la importancia de una postura de seguridad proactiva y resiliente.