Kaspersky ha publicado una nueva herramienta de descifrado para ayudar a las víctimas de una modificación de ransomware basada en el código fuente de Conti, una banda que ha dominado la escena del cibercrimen desde 2019, filtrado en marzo de 2022 tras un conflicto interno provocado por la crisis geopolítica en Europa. La modificación descubierta fue distribuida por un grupo de ransomware desconocido y ha sido utilizada contra empresas e instituciones estatales.
A finales de febrero de 2023, los expertos de Kaspersky descubrieron una nueva porción de datos filtrados que se publicaron en foros. Después de analizar estos datos, que contenían 258 claves privadas, código fuente y algunos descifradores pre-compilados, Kaspersky lanzó una nueva versión del descifrador público para ayudar a las víctimas de esta modificación del ransomware Conti.
Conti estuvo muy activo durante 2020, representando más del 13% de todas las víctimas de ransomware durante este periodo. Sin embargo, hace un año, cuando se filtró el código fuente, varias bandas criminales crearon múltiples modificaciones del ransomware y las utilizaron en sus ataques.
La variante del malware, cuyas claves se filtraron, había sido descubierta por especialistas de Kaspersky en diciembre de 2022. Las claves privadas filtradas se encuentran en 257 carpetas (solo una de éstas contiene dos claves). Algunas de ellas incluyen descifradores generados previamente y varios archivos ordinarios, como documentos, fotos, entre otros. Se presume que estos últimos son de prueba, es decir, un par de archivos que la víctima envía a los atacantes para asegurarse de que estos puedan ser descifrados.
Treinta y cuatro de estas carpetas tienen nombres explícitos de empresas y agencias gubernamentales. Suponiendo que una carpeta corresponde a una víctima y que los descifradores se generaron para aquellas que pagaron el rescate, se puede sugerir que 14 de las 257 víctimas pagaron el rescate a los atacantes.
Después de analizar los datos, los expertos dieron a conocer una nueva versión del descifrador público para ayudar a las víctimas de esta modificación del ransomware Conti. El código de descifrado y las 258 claves se agregaron a la última versión de la herramienta RakhniDecryptor 1.40.0.00 de Kaspersky. Además, ésta se ha agregado al sitio “No Ransom” de la compañía (https://noransom.kaspersky.com/es).
“Durante varios años consecutivos, el ransomware se ha mantenido como una de las principales herramientas utilizadas por los ciberdelincuentes. Sin embargo, debido a que hemos estudiado las tácticas, técnicas y procedimientos de varios grupos de ellos y descubrimos que muchos operan de manera similar, la prevención de ataques se ha vuelto más fácil. La herramienta de descifrado contra la nueva modificación basada en Conti ya está disponible en nuestra página web ‘No Ransom’. Sin embargo, nos gustaría enfatizar que la mejor estrategia es fortalecer las defensas y detener a los atacantes en las primeras etapas de su intrusión, evitando así el despliegue de ransomware y minimizando las consecuencias del ataque”, dijo Fedor Sinitsyn, analista principal de malware en Kaspersky.
