CISA actualiza la alerta de ransomware Conti con casi 100 nombres de dominio

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha actualizado la alerta sobre el ransomware Conti con indicadores de compromiso (IoC) que consisten en cerca de 100 nombres de dominio utilizados en operaciones maliciosas.

Publicado originalmente el 22 de septiembre de 2021, el aviso incluye detalles observados por CISA y la Oficina Federal de Investigaciones (FBI) en ataques de ransomware Conti dirigidos a organizaciones en los EE. UU. El aviso de seguridad cibernética actualizado contiene datos del Servicio Secreto de EE. UU.

Cuentas IoC dominios

Los detalles internos de la operación de ransomware Conti comenzaron a filtrarse a fines de febrero después de que la pandilla anunciara públicamente que estaban del lado de Rusia en la invasión de Ucrania.

La filtración provino de un investigador ucraniano, quien inicialmente publicó mensajes privados intercambiados por los miembros de la pandilla y luego publicó el código fuente del ransomware, los paneles administrativos y otras herramientas.

El caché de datos también incluía dominios utilizados para compromisos con BazarBackdoor, el malware utilizado para el acceso inicial a redes de objetivos de alto valor.

CISA dice que el actor de amenazas Conti ha afectado a más de 1,000 organizaciones en todo el mundo, siendo los vectores de ataque más frecuentes el malware TrickBot y las balizas Cobalt Strike.

La agencia lanzó hoy un lote de 98 nombres de dominio que comparten "características de registro y denominación similares" a las utilizadas en los ataques de ransomware Conti de grupos que distribuyen el malware.

La agencia señala que si bien los dominios se han utilizado en operaciones maliciosas, algunos de ellos "pueden estar abandonados o pueden compartir características similares coincidentemente".

Dominios

badiwaw[.]com
balacif[.]com
barobur[.]com
baseem[.]com
bimafu[.]com
chiste[.]com
buloxo[.]com
bumoyez[.]com
bupula[.]com
cajetí[.]com
cilomum[.]com
codasal[.]com
comecal[.]com
Dawasab[.]com
derotin[.]com
dihata[.]com
dirupun[.]com
dohigu[.]com
dubacaj[.]com
fecotis[.]com

fipoleb[.]com
Fofudir[.]com
fulujam[.]com
ganobaz[.]com
gerepá[.]com
gucunug[.]com guafe[.]com
hakakor[.]com
hejalij[.]com
hepida[.]com
hesovaw[.]com
hewecas[.]com
hidusi[.]com
contrata[.]com
hoguyum[.]com
jecubat[.]com
jegufe[.]com
joxinu[.]com
kelowuh[.]com
niños[.]com

kipitep[.]com
Kirute[.]com
kogasiv[.]com
kozoheh[.]com
kuxizi[.]com
kuyeguh[.]com
lipozi[.]com
lujecuk[.]com
masaxoc[.]com
mebonux[.]com
mihojip[.]com
modasum[.]com
moduwoj[.]com
movufa[.]com
nagahox[.]com
nawusem[.]com
nerapo[.]com
newiro[.]com
paxocomprar[.]com
pazovet[.]com

Pihafi[.]com
pilagop[.]com
pipipub[.]com
pofifa[.]com
radezig[.]com
raferif[.]com
ragojel[.]com
rexagi[.]com
rimurik[.]com
Rinutov[.]com
rusoti[.]com
sazoya[.]com
sidevot[.]com
solobiv[.]com
sufebul[.]com
suhu como[.]com
sujaxa[.]com
tafobi[.]com tepiwo[.]com
tifiru[.]com

tiyuzub[.]com
tubaho[.]com
vacio[.]com
Vegubu[.]com
vigave[.]com
vipezado[.]com
consentido[.]com
vojefe[.]com
vonavu[.]com
Wezeriw[.]com
anchori[.]com
wudepen[.]com
wuluxo[.]com
wuvehus[.]com
wuvici[.]com
wuvidi[.]com
xegogiv[.]com
xekezix[.]com

La lista anterior de dominios asociados con los ataques del ransomware Conti parece ser diferente de los cientos que el investigador ucraniano filtró de las infecciones de BazarBackdoor.

A pesar de la atención no deseada que recibió Conti recientemente debido a la exposición de sus chats y herramientas internas, la pandilla no frenó su actividad.

Desde principios de marzo, Conti enumeró en su sitio web a más de dos docenas de víctimas en EE. UU., Canadá, Alemania, Suiza, Reino Unido, Italia, Serbia y Arabia Saudita.

Descubre más contenido

Subir Change privacy settings