El adversario detrás del ransomware Conti apuntó a no menos de 16 redes de atención médica y de primeros auxilios en los EE. UU. durante el año pasado, victimizando totalmente a más de 400 organizaciones en todo el mundo, 290 de las cuales están ubicadas en el país.

Eso es según una nueva alerta emitida por la Oficina Federal de Investigaciones (FBI) de EE. UU. el jueves.

“El FBI identificó al menos 16 ataques de ransomware Conti dirigidos a las redes de atención médica y de primeros auxilios de EE. UU., incluidas las agencias policiales, los servicios médicos de emergencia, los centros de despacho del 9-1-1 y los municipios en el último año”, dijo la agencia.

Los ataques de ransomware han empeorado a lo largo de los años, con objetivos recientes tan variados como gobiernos estatales y locales, hospitales, departamentos de policía e infraestructura crítica. Conti es una de las muchas cepas de ransomware que han capitulado en esa tendencia, comenzando sus operaciones en julio de 2020 como un Ransomware-as-a-Service (RaaS) privado, además de subirse al carro de la doble extorsión al lanzar un sitio de fuga de datos.

Según un análisis publicado por la empresa de recuperación de ransomware Coveware el mes pasado, Conti fue la segunda cepa más frecuente implementada, representando el 10,2 % de todos los ataques de ransomware en el primer trimestre de 2021.

Las infecciones que involucran a Conti también han violado las redes del Ejecutivo del Servicio de Salud de Irlanda (HSE) y el Departamento de Salud (DoH), lo que provocó que el Centro Nacional de Seguridad Cibernética (NCSC, por sus siglas en inglés) emitiera una alerta propia el 16 de mayo, afirmando que «hay impactos graves en las operaciones de salud y se están posponiendo algunos procedimientos que no son de emergencia». mientras los hospitales implementan sus planes de continuidad de negocio”.

Los operadores de Conti son conocidos por infiltrarse en las redes empresariales y propagarse lateralmente utilizando balizas Cobalt Strike antes de explotar las credenciales de usuario comprometidas para implementar y ejecutar las cargas útiles de ransomware, con los archivos cifrados renombrados con una extensión «.FEEDC». Enlaces de correo electrónico maliciosos armados, archivos adjuntos o credenciales de Protocolo de escritorio remoto (RDP) robadas son algunas de las tácticas que el grupo usó para obtener un punto de apoyo inicial en la red objetivo, dijo el FBI.

«Los actores son observados dentro de la red de la víctima entre cuatro días y tres semanas en promedio antes de implementar el ransomware Conti», señaló la agencia, y agregó que los montos del rescate se adaptan a cada víctima, con demandas recientes que alcanzan los $ 25 millones.

La alerta también se produce en medio de una proliferación de incidentes de ransomware en las últimas semanas, incluso cuando los extorsionadores continúan buscando precios exorbitantes de las empresas con la esperanza de obtener un gran y rápido día de pago. Se dice que la compañía de seguros CNA Financial pagó 40 millones de dólares, mientras que Colonial Pipeline y Brenntag desembolsaron casi 4,5 millones de dólares para recuperar el acceso a sus sistemas cifrados.