Conti ransomware utiliza 32 subprocesos simultáneos de CPU para un cifrado increíblemente rápido


lock-encryption-ransomware.png

Una variedad de ransomware menos conocida conocida como Conti está utilizando hasta 32 subprocesos simultáneos de CPU para encriptar archivos en computadoras infectadas para velocidades de encriptación ultrarrápidas, dijeron investigadores de seguridad de Carbon Black en un informe el miércoles.

Conti es solo la última de una larga serie de cepas de ransomware que se han visto este año. Al igual que la mayoría de las familias de ransomware en la actualidad, Conti fue diseñado para ser controlado directamente por un adversario, en lugar de ejecutarse automáticamente por sí mismo.

Estos tipos de cepas de ransomware también se conocen como «ransomware operado por humanos», y están diseñados para implementarse durante intrusiones específicas dentro de grandes redes corporativas o gubernamentales.

Los investigadores de seguridad vieron por primera vez un Conti dev develop a principios de este año, en febrero, pero Carbon Black ahora ha informado que su Unidad de Análisis de Amenazas (TAU) ha detectado infecciones de Conti en la naturaleza.

32 hilos de CPU, ¡para la victoria!

Bajo el capó, Conti funciona como la mayoría de los ransomware Sin embargo, también viene con sus propios problemas, incluidas algunas características que no se han visto en otras cepas.

En un informe técnico publicado el miércoles, el TAU de Carbon Black dice que el elemento que se destacó durante su análisis del código de Conti fue su soporte para operaciones de subprocesos múltiples.

Esto no es del todo único. Otras cepas de ransomware también admiten operaciones de subprocesos múltiples, ejecutan múltiples cálculos simultáneos en la CPU para ganar velocidad durante su ejecución y permiten que el proceso de cifrado termine más rápido antes de que las soluciones antivirus detecten y detengan la operación de bloqueo de archivos.

Otras cepas de ransomware vistas usando múltiples hilos de CPU incluyen los gustos de REvil (Sodinokibi), LockBit, Rápido, Thanos, Fobos, LockerGoga y MagaCortex — Sólo para nombrar unos pocos.

Pero Carbon Black dice que Conti se destacó por la gran cantidad de hilos concurrentes que utilizó, a saber, 32, que resultaron «en un cifrado más rápido en comparación con muchas otras familias».

Modo de cifrado complicado solo en purple

Sin embargo, este no fue el único detalle único que Carbon Black ha visto en Conti. El segundo fue un handle detallado sobre los objetivos de cifrado del ransomware a través de un cliente de línea de comandos.

Los investigadores de Carbon Black dicen que el ransomware se puede configurar para omitir archivos de cifrado en las unidades locales y cifrar datos en recursos compartidos SMB en pink simplemente alimentando al binario del ransomware una lista de direcciones IP a través de la línea de comandos.

«El efecto noteworthy de esta capacidad es que puede causar daños selectivos en un entorno en un método que podría frustrar las actividades de respuesta a incidentes», explicó Brian Baskin, Director Técnico de Investigación de Amenazas en Carbon Black.

«Un ataque exitoso puede tener una destrucción que se limita a las acciones de un servidor que no tiene capacidad de World wide web, pero donde no hay evidencia de destrucción similar en otras partes del entorno.

«Esto también tiene el efecto de reducir el» ruido «general de un ataque de ransomware en el que cientos de sistemas comienzan a mostrar signos de infección. En cambio, el cifrado puede no ser noteworthy durante días o semanas, una vez que los datos son accedidos un usuario «, dijo Baskin.

Además, este comportamiento también puede confundir a los equipos de seguridad que realizan la respuesta a incidentes, que pueden no ser capaces de identificar el punto de entrada a una crimson a menos que realicen una auditoría completa de todos los sistemas y permitir que los hackers permanezcan ocultos dentro de una sola máquina en la víctima pink.

Conti abusa del Administrador de reinicio de Windows

La tercera técnica única detectada en el código de Conti es el abuso de Windows Restart Supervisor, el componente de Windows que desbloquea archivos antes de reiniciar el sistema operativo.

Según Carbon Black, Conti invoca este componente para desbloquear y cerrar procesos de aplicaciones para que pueda cifrar sus datos respectivos. Este truco puede ser increíblemente útil en los servidores de Home windows, donde la mayoría de los datos confidenciales generalmente son administrados por una base de datos que casi siempre está en funcionamiento.

Carbon Black le dijo a ZDNet que esta es una técnica muy rara que hasta ahora ha sido vista utilizada por menos de media docena de familias de malware. Entre las familias de ransomware, esta fue la segunda vez que se abusa del Administrador de reinicio de Windows, siendo la primera Medusa Locker: analizado por Carbon Black el mes pasado.

Al momento de escribir, no hay forma de recuperar archivos bloqueados a través del ransomware Conti, lo que significa que los métodos de prevención, como mantener copias de seguridad fuera de línea, asegurar estaciones de trabajo, abrir puertos de administración remota y dispositivos de perímetro de red, deben tener prioridad, a menos que las empresas puedan permitirse pagar enormes demandas de rescate a la pandilla Conti.





Enlace a la noticia authentic