El ciberataque del ransomware Conti a organismos gubernamentales de Costa Rica en abril de 2022 tuvo gran repercusión por el alcance y las consecuencias del incidente. Hablamos en profundidad de esto en un episodio del podcast Conexión Segura, donde también explicamos por qué este último ataque de Conti antes de su cierre fue un hecho sin precedentes. Y si bien hasta el momento no se habían publicado detalles de cómo fue que se produjo el ataque que terminó afectando al menos a ocho entidades y que derivó en que se declare la emergencia nacional en el país, investigadores revelaron detalles de cómo fue que Conti logró acceso a la red del Ministerio de Hacienda y los pasos que dieron los criminales hasta ejecutar el ransomware, extorsionar al gobierno y acceder a las redes de otros organismos.

Vale la pena mencionar que los mecanismos utilizados por Conti en este ataque son los mismos que viene utilizando desde hace bastante tiempo y que hemos explicado en el artículo principales características del ransomware Conti. Esto demuestra que los actores maliciosos seguirán recurriendo a las mismas estrategias hasta que las organizaciones no tomen nota de las técnicas y herramientas que utilizan estos grupos, pero también sirve como ejemplo para cuestionar esta idea que muchos tienen de que los cibercriminales siempre utilizan métodos y técnicas sofisticadas para comprometer a sus víctimas.

En un reporte publicado esta semana por AdvIntel, investigadores afirmaron que fue un proceso de cinco días (comenzó el 11 de abril) desde que los atacantes lograron el acceso inicial a la red, realizaron tareas de reconocimiento y exfiltración de información, hasta finalmente ejecutar el código maliciosos.

Un miembro del grupo, denominado MemberX, logró acceder a la red del Ministerio de Hacienda y obtener permisos de administrador de dominio utilizando credenciales previamente comprometidas de una conexión VPN. El robo de estas credenciales se logró a través de la instalación de una forma cifrada de la herramienta de pentesting legítima Cobalt Strike en una sub red del organismo.

Una vez dentro de la red utilizaron la herramienta de línea de comando nltest para obtener una lista de los controladores de dominio del organismo y la relación de confianza entre ellos. Luego, escanearon la red en busca de información sensible a través de la utilidad ShareFinder y AdFind para finalmente descargar en su máquina local el resultado de la herramienta File Share a través de un canal de CobaltStrike.

Además, según explican, esta forma de ataque permitió a los adversarios acceder a carpetas compartidas con permisos de administrador y ejecutar Cobalt Strike beacon de manera remota utilizando la herramienta PsExec y así lograr acceso local con permisos de administrador. Después desplegaron Mimikatz para hacer un volcado de contraseñas y hashes NTDS desde las máquinas de usuarios locales y así obtener hashes de administradores locales, de dominio y Enterprise.

Las credenciales Enterprise fueron utilizadas para llevar adelante ataques de DCSync y de Zerologon, lo que les permitió acceder a distintos host interconectados a la red del organismo gubernamental. Para establecer persistencia cargaron la herramienta de administración remota Altera a través de scripts MSI, mientras que para llevar adelante la exfiltración de los archivos utilizaron el software Rclone contactando la salida de esta herramienta con el servicio de almacenamiento en la nube MEGA Share.

Si bien Conti, que fue uno de los grupos de ransomware más activos entre 2020 y 2021, dejó de operar con ese nombre, los actores detrás de esta banda tienen vínculos con otros grupos de ransomware en actividad, con lo cual no es de extrañarse que sigan utilizando los mismos mecanismos para comprometer a nuevas organizaciones. Por lo tanto, recomendamos a los profesionales de TI de empresas y organizaciones verificar los mecanismos utilizados por los atacantes y comprobar que las medidas de seguridad que se aplican en el interior de la organización sean las correctas.