Kaspersky ha publicado una nueva versión de una herramienta de descifrado
que ayuda a las víctimas de las variantes del ransomware basadas en el código
fuente filtrado de
Conti.
Conti es una banda de ransomware que ha dominado la escena del cibercrimen
desde 2019 y cuyos datos, incluido el código fuente, se filtraron en marzo de
2022 tras un conflicto interno provocado por la crisis geopolítica en Europa.
La modificación descubierta fue distribuida por un grupo de ransomware
desconocido y se ha utilizado contra empresas e instituciones estatales.
A finales de febrero de 2023, los expertos de Kaspersky descubrieron una nueva
parte de los datos filtrados publicados en foros. Después de analizar los
datos, que contenían 258 claves privadas, código fuente y algunos
descifradores precompilados, Kaspersky lanzó una nueva versión del descifrador
público para ayudar a las víctimas de esta modificación del ransomware Conti.
Conti apareció a finales de 2019 y fue muy activo a lo largo de 2020,
representando más del 13 por ciento de todas las víctimas de ransomware
durante este período. Sin embargo, hace un año, una vez filtrado el código
fuente, múltiples modificaciones del ransomware Conti fueron creadas por
varias bandas criminales y utilizadas en sus ataques.
La variante del malware cuyas claves se filtraron, había sido descubierta por
los especialistas de Kaspersky en diciembre de 2022. Esta cepa se utilizó en
múltiples ataques contra empresas e instituciones estatales.
Treinta y cuatro de estas carpetas tienen nombres explícitos de empresas y
organismos gubernamentales. Suponiendo que una carpeta corresponde a una
víctima, y que los descifradores se generaron para las víctimas que pagaron el
rescate, se puede sugerir que14 víctimas de las 257 pagaron el rescate a los
atacantes.
El código de descifrado y las 258 claves se han añadido
a la última versión de
RakhniDecryptor v1.40
de Kaspersky. Además, la herramienta de descifrado se ha añadido al sitio
No Ransom de Kaspersky.
- Trojan-Ransom.Win32.Conti
- Trojan-Ransom.Win32.Ragnarok
- Trojan-Ransom.Win32.Fonix
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.GandCrypt ver. 4 / 5
- Trojan-Ransom.Win32.Bitman ver. 3 / 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.MSIL.Yatron
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis (Dharma)
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
- Trojan-Ransom.Win32.Maze
- Trojan-Ransom.Win32.Sekhmet
- Trojan-Ransom.Win32.Egregor
herramientas para más de 180 ransomware
distintos.
Para protegerse a sí mismo y a su empresa de los ataques de ransomware,
considere la posibilidad de seguir las reglas propuestas por Kaspersky:
-
No exponga los servicios de escritorio remoto (como RDP) a redes públicas a
menos que sea absolutamente necesario y utilice siempre contraseñas seguras
para ellos. -
Instale rápidamente los parches disponibles para las soluciones VPN
comerciales que proporcionan acceso a los empleados remotos y actúan como
pasarelas en su red. -
Centre su estrategia de defensa en la detección de movimientos laterales y
la exfiltración de datos a Internet. Preste especial atención al tráfico
saliente para detectar conexiones de ciberdelincuentes. -
Haga copias de seguridad de los datos con regularidad. Asegúrese de poder
acceder a ellos rápidamente en caso de emergencia cuando sea necesario.
Fuente:
Kaspersky
Los comentarios están cerrados.