Underc0de

Han surgido detalles sobre cómo la pandilla de ransomware Conti violó el gobierno de Costa Rica, mostrando la precisión del ataque y la velocidad de pasar del acceso inicial a la etapa final de cifrado de dispositivos.

Este es el último ataque de la operación de ransomware Conti antes de que el grupo hiciera la transición a una forma diferente de organización que se basa en varias células que trabajan con otras pandillas.

La intrusión de 5 días de Conti en el gobierno de Costa Rica

La operación de ransomware Conti se lanzó en 2020 para reemplazar a Ryuk y rápidamente se volvió infame después de atacar a las víctimas tanto en el sector público como en el privado, incluidos  los gobiernos locales  en los EE. UU., las  escuelas y  los sistemas nacionales de salud .

El 11 de abril de 2022, Conti inició su última incursión bajo esta marca luego de obtener acceso inicial a la red del gobierno de Costa Rica y participar en actividades de reconocimiento.

Un informe de la compañía de inteligencia cibernética Advanced Intelligence ( AdvIntel ) detalla los pasos de los piratas informáticos rusos desde el punto de apoyo inicial hasta la exfiltración de 672 GB de datos el 15 de abril y la ejecución del ransomware.

El punto de entrada del actor de amenazas era un sistema perteneciente al Ministerio de Hacienda de Costa Rica, al que un miembro del grupo denominado 'MemberX' obtuvo acceso a través de una conexión VPN utilizando credenciales comprometidas.

El CEO de Advanced Intelligence, Vitali Kremez, le dijo a BleepingComputer que las credenciales comprometidas se obtuvieron del malware instalado en el dispositivo inicial comprometido en la red de la víctima.

Se establecieron más de 10 sesiones de balizas Cobalt Strike en las primeras etapas del ataque, dicen los investigadores de AdvIntel en el informe.


Después de obtener acceso al administrador del dominio de la red local, el intruso usó la herramienta de línea de comandos Nltest para enumerar las relaciones de confianza del dominio. Luego, escanearon la red en busca de archivos compartidos usando las utilidades ShareFinder y AdFind.

Los detalles de AdvIntel sobre la actividad del actor de amenazas en la red del gobierno de Costa Rica incluyen los comandos específicos utilizados en cada paso.


Según los investigadores, MemberX luego usó el canal de puerta trasera Cobalt Strike para descargar la salida del archivo compartido a una máquina local.

El atacante pudo acceder a los recursos compartidos administrativos donde cargaron una baliza DLL de Cobalt Strike y luego la ejecutaron usando la herramienta PsExec para la ejecución remota de archivos.


Utilizando la herramienta posterior a la explotación de Mimikatz para exfiltrar credenciales, el adversario recopiló las contraseñas de inicio de sesión y los hashes de NTDS para los usuarios locales, obteniendo así "hashes de administrador de empresa, dominio y administrador local de texto sin formato y susceptibles de brutalidad".

Los investigadores dicen que los operadores de Conti aprovecharon Mimikatz para ejecutar un  ataque DCSync  y  Zerologon  que les dio acceso a cada host en las redes interconectadas de Costa Rica.

Para asegurarse de que no pierdan el acceso en caso de que los defensores detecten las balizas Cobalt Strike, Conti plantó la herramienta de acceso remoto Atera en hosts con menos actividad de usuarios donde tenían privilegios administrativos.


El robo de datos fue posible utilizando el programa de línea de comandos Rclone que puede administrar archivos en múltiples servicios de almacenamiento en la nube. Conti usó esto para cargar datos al servicio de alojamiento de archivos MEGA.

Un diagrama del flujo de ataque:


Posterior al ataque: emergencia nacional, cierre de Conti

Según una nota en el sitio de filtraciones de Conti, la demanda de rescate fue inicialmente de $10 millones y luego aumentó a $20 millones cuando Costa Rica se negó a pagar.

Sin embargo, los investigadores de AdvIntel  dicen  que la comunicación interna entre los miembros de Conti mostró que el precio "estaba muy por debajo del millón de dólares".

AdvIntel señala que el ataque de Conti al gobierno de Costa Rica "fue relativamente poco sofisticado" y que una red "plana" diseñada combinada con recursos compartidos administrativos mal configurados ayudó al atacante a pasar a fideicomisos de dominio.

Luego de este ataque paralizante, Costa Rica se vio obligada el 8 de mayo a  declarar una emergencia nacional  ya que la intrusión se había extendido a múltiples organismos gubernamentales, y algunas agencias reanudaron sus actividades a principios de junio.

Aproximadamente 10 días después, los líderes de Conti comenzaron a  cerrar la operación  desconectando parte de la infraestructura y anunciando que la marca ya no existía.

El paso final ocurrió a fines de junio cuando  Conti cerró  todos los sitios utilizados para negociar rescates con las víctimas y desconectó el sitio de fuga de datos.

Sin embargo, el sindicato de ciberdelincuentes sigue vivo, bajo una organización diferente donde sus miembros se dispersaron en otras operaciones de ransomware ( Quantum , Hive, AvosLocker, BlackCat, Hello Kitty).

Otras operaciones también en el negocio de la extorsión, menos la parte de cifrado de archivos, que también están vinculadas a Conti son  Karakurt ,  BlackByte y el  colectivo Bazarcall .

Fuente: https://www.bleepingcomputer.com