Kaspersky publicó una nueva herramienta de defensa para ayudar a las víctimas de una modificación de ransomware basada en el código fuente de Conti, filtrado previamente. Conti es una banda de ransomware que ha dominado la escena del cibercrimen desde 2019, cuyos datos, incluido el código fuente, se filtraron en marzo de 2022 tras un conflicto interno provocado por la crisis geopolítica en Europa. La modificación descubierta fue distribuida por un grupo de ransomware desconocido que fue atacando a empresas e instituciones estatales.
A fines de febrero de 2023, los expertos de Kaspersky descubrieron una nueva porción de datos filtrados que se publicaron en foros. Luego de analizar los datos, los cuales contenían 258 claves privadas y códigos descifrados que fueron pre-compilados, Kaspersky lanzó una nueva versión del descifrador público para ayudar a proteger a las víctimas de este ataque del ransomware Conti.
Conti tuvo sus inicios a fines de 2019 y estuvo trabajando durante el 2020, representando más del 13% de las empresas que fueron víctimas de ransomware durante este período. Sin embargo, hace un año, cuando se filtró el código fuente, una gran cantidad de criminales crearon variedades de modificaciones del ransomware Conti y las usaron en las empresas.
La variante del malware, fue descubierta por los especialistas de Kaspersky en diciembre de 2022. Esta variante fue utilizada en varios ataques contra empresas e instituciones estatales.
Treinta y cuatro de estas carpetas tienen nombres explícitos de empresas y agencias gubernamentales. Suponiendo que una carpeta corresponde a una víctima y que los descifradores se generaron para las víctimas que pagaron el rescate, se puede sugerir que 14 de las 257 víctimas pagaron el rescate a los atacantes.
Después de analizar los datos, los expertos dieron a conocer una nueva versión del descifrador público para ayudar a las víctimas de esta modificación del ransomware Conti. El código de descifrado y las 258 claves se agregaron a la última versión del utensilio RakhniDecryptor 1.40.0.00 de Kaspersky. Además, la herramienta de descifrado se ha agregado al sitio "No Ransom" de Kaspersky
“Durante varios años consecutivos, el ransomware se ha mantenido como una de las principales herramientas utilizadas por los ciberdelincuentes. Sin embargo, debido a que hemos estudiado las tácticas, técnicas y procedimientos de varias pandillas de ransomware y descubrimos que muchas de ellas operan de manera similar, la prevención de ataques se vuelve más fácil. La herramienta de descifrado contra una nueva modificación basada en Conti ya está disponible en nuestra página web “No Ransom”. Sin embargo, nos gustaría enfatizar que la mejor estrategia es fortalecer las defensas y detener a los atacantes en las primeras etapas de su intrusión, evitando así el despliegue de ransomware y minimizando las consecuencias del ataque”, dijo Fedor Sinitsyn, analista principal de malware en Kaspersky.