CISA actualiza la alerta de ransomware Conti con casi 100 nombres de dominio

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha actualizado la alerta sobre el ransomware Conti con indicadores de compromiso (IoC) que consisten en cerca de 100 nombres de dominio utilizados en operaciones maliciosas.

Publicado originalmente el 22 de septiembre de 2021, el aviso incluye detalles observados por CISA y la Oficina Federal de Investigaciones (FBI) en ataques de ransomware Conti dirigidos a organizaciones en los EE. UU. El aviso de seguridad cibernética actualizado contiene datos del Servicio Secreto de EE. UU.

Cuentas IoC dominios

Los detalles internos de la operación de ransomware Conti comenzaron a filtrarse a fines de febrero después de que la pandilla anunciara públicamente que estaban del lado de Rusia en la invasión de Ucrania.

La filtración provino de un investigador ucraniano, quien inicialmente publicó mensajes privados intercambiados por los miembros de la pandilla y luego publicó el código fuente del ransomware, los paneles administrativos y otras herramientas.

El caché de datos también incluía dominios utilizados para compromisos con BazarBackdoor, el malware utilizado para el acceso inicial a redes de objetivos de alto valor.

CISA dice que el actor de amenazas Conti ha afectado a más de 1,000 organizaciones en todo el mundo, siendo los vectores de ataque más frecuentes el malware TrickBot y las balizas Cobalt Strike.

La agencia lanzó hoy un lote de 98 nombres de dominio que comparten "características de registro y denominación similares" a las utilizadas en los ataques de ransomware Conti de grupos que distribuyen el malware.

La agencia señala que si bien los dominios se han utilizado en operaciones maliciosas, algunos de ellos "pueden estar abandonados o pueden compartir características similares coincidentemente".

Dominios
badiwaw[.]com balacif[.]com barobur[.]com baseem[.]com bimafu[.]com chiste[.]com buloxo[.]com bumoyez[.]com bupula[.]com cajetí[.]com cilomum[.]com codasal[.]com comecal[.]com Dawasab[.]com derotin[.]com dihata[.]com dirupun[.]com dohigu[.]com dubacaj[.]com fecotis[.]com	fipoleb[.]com Fofudir[.]com fulujam[.]com ganobaz[.]com gerepá[.]com gucunug[.]com guafe[.]com hakakor[.]com hejalij[.]com hepida[.]com hesovaw[.]com hewecas[.]com hidusi[.]com contrata[.]com hoguyum[.]com jecubat[.]com jegufe[.]com joxinu[.]com kelowuh[.]com niños[.]com	kipitep[.]com Kirute[.]com kogasiv[.]com kozoheh[.]com kuxizi[.]com kuyeguh[.]com lipozi[.]com lujecuk[.]com masaxoc[.]com mebonux[.]com mihojip[.]com modasum[.]com moduwoj[.]com movufa[.]com nagahox[.]com nawusem[.]com nerapo[.]com newiro[.]com paxocomprar[.]com pazovet[.]com	Pihafi[.]com pilagop[.]com pipipub[.]com pofifa[.]com radezig[.]com raferif[.]com ragojel[.]com rexagi[.]com rimurik[.]com Rinutov[.]com rusoti[.]com sazoya[.]com sidevot[.]com solobiv[.]com sufebul[.]com suhu como[.]com sujaxa[.]com tafobi[.]com tepiwo[.]com tifiru[.]com	tiyuzub[.]com tubaho[.]com vacio[.]com Vegubu[.]com vigave[.]com vipezado[.]com consentido[.]com vojefe[.]com vonavu[.]com Wezeriw[.]com anchori[.]com wudepen[.]com wuluxo[.]com wuvehus[.]com wuvici[.]com wuvidi[.]com xegogiv[.]com xekezix[.]com

La lista anterior de dominios asociados con los ataques del ransomware Conti parece ser diferente de los cientos que el investigador ucraniano filtró de las infecciones de BazarBackdoor.

A pesar de la atención no deseada que recibió Conti recientemente debido a la exposición de sus chats y herramientas internas, la pandilla no frenó su actividad.

Desde principios de marzo, Conti enumeró en su sitio web a más de dos docenas de víctimas en EE. UU., Canadá, Alemania, Suiza, Reino Unido, Italia, Serbia y Arabia Saudita.