Conti Ransomware abusa del Administrador de arranque de Windows para el cifrado de archivos

Negro carbón Los investigadores han descubierto una nueva variedad de ransomware llamada Conti, que se jacta de utilizar 32 subprocesos simultáneos para cifrar archivos muy rápidamente. Además, también está explotando el Administrador de reinicio de Windows para desbloquear aplicaciones y cifrar los datos que contienen. A partir de ahora, no hay descifrado disponible para este ransomware según los investigadores, por lo tanto, se sugiere proteger la red y tener copias de seguridad fuera de línea por seguridad.

Conti Ransomware aprovechando Windows con características únicas

El grupo Conti no es tan conocido en el espacio del ransomware y es tan curioso que este linaje esté utilizando características únicas para cifrar la red de los usuarios. Aunque funciona como un ransomware normal después de su implementación, inicialmente lo controla el adversario.

Estos tipos de ransomware se denominan ransomware operado por humanos y están dirigidos a personas específicas de la organización. Aunque los investigadores de seguridad vieron por primera vez un Conti Dev construido en febrero de este año, el equipo de Carbon Black ahora ha informado con evidencia de que el ransomware está libre.

Contener ransomware
Contener ransomware

Este ransomware es único porque utiliza 32 subprocesos de CPU simultáneamente. Mientras que otros grupos de ransomware como Sodinokibi, Rapid, Phobos, LockerGoga, LockBit y Thanos usan subprocesos de CPU para un cifrado más rápido, nunca llegaron a 32 subprocesos. Entonces Conti se hizo un nombre. El uso de muchos subprocesos como tal se beneficiaría de un cifrado más rápido, evitando así la detección por parte de cualquier software antivirus.

El ransomware Conti está clasificado para cifrar solo los archivos que provienen de las máquinas de destino. No puede eludir el bloqueo de archivos de la unidad local y centrarse en archivos SMB que se pueden compartir en la red, sino que solo proporciona direcciones IP de destino en su línea de comandos. Por lo tanto, el ransomware permanecería dentro de la máquina de destino hasta que se detecte.

Finalmente, se encontró que tiene una característica única más que ayuda con el cifrado. Conti puede aprovechar el administrador de reinicio legítimo de Windows, que se utiliza para desbloquear archivos antes de reiniciar el sistema operativo. Por lo tanto, se utiliza para desbloquear archivos y cerrar el proceso de la aplicación para cifrarlos correctamente.

A partir de ahora, no hay una clave o método de trampa disponible para esta variedad de ransomware, por lo que se sugiere tener copias de seguridad fuera de línea, estaciones de trabajo seguras, puertos de administración remota abiertos, etc. para evitar infecciones.

A través de la: ZDNet