Nuevo ransomware cifra miles de dispositivos en la red en pocos segundos

Expertos en borrado seguro de archivos revelaron el hallazgo de una nueva variante de ransomware bautizada como Conti. Si bien es mucho menos conocida que otras variantes de malware de cifrado, los investigadores aseguran que es igualmente peligroso, pues emplea hasta 32 subprocesos en simultáneo para infectar archivos y dispositivos a gran velocidad.

Este ha sido un año especialmente difícil en el combate al ransomware, pues muchas de las más recientes variantes, incluyendo a Conti, son controladas directamente por los actores de amenazas, en lugar de ser ejecutadas automáticamente, lo que dificulta la defensa de un sistema comprometido.

Esta modalidad de ataque, conocida como “ransomware operado por humanos”, es capaz de implementarse en momentos específicos en grandes redes corporativas y gubernamentales, aseguran los expertos en borrado seguro de archivos. Respecto a Conti, la primera infección fue detectada en febrero de 2020, aunque su nivel de actividad ha ido en aumento.

Si bien Conti se asemeja a cualquier otra variante de ransomware a simple vista, investigaciones posteriores descubrieron la principal cualidad de Conti: el soporte para operar múltiples subprocesos para desplegarse con suma rapidez, dejando atrás la presencia de cualquier solución antimalware que pueda interrumpir el proceso de cifrado.

Otras variantes de ransomware similares incluyen a incluyen REvil (también conocido como Sodinokibi), LockBit, Rapid, Thanos y Phobos. No obstante, Conti destaca por su elevada capacidad de administrar subprocesos, cifrando los sistemas afectados en un tiempo mucho menor que sus contrapartes desarrolladas por otros hackers.

Otra característica de Conti que llamó la atención de los expertos en borrado seguro de archivos es que el malware tiene un control estricto sobre los objetivos de cifrado a través de un cliente de línea de comandos, por lo que el ransomware es capaz de distinguir entre los archivos expuestos para omitir el cifrado de unidades locales y enfocarse en recursos compartidos en la red.

Finalmente, Conti es capaz de abusar de la función Windows Restart Manager, el componente del sistema que desbloquea archivos antes de reiniciarse. Conti invoca este componente para desbloquear y cerrar procesos de aplicaciones para que pueda cifrar sus datos respectivos. Esto resulta útil en los servidores de Windows, donde la mayoría de los datos confidenciales son administrados por una base de datos que casi siempre está en funcionamiento.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.