La unidad de investigación de SILIKN alertó sobre un posible ataque del grupo cibercriminal de ransomware Conti hacia las dependencias del gobierno de México, en el transcurso de los siguientes días. 

Un monitoreo de las actividades de Conti ha mostrado que el grupo se mantiene muy activo en América Latina y modificando sus estrategias y herramientas para evadir las defensas de las organizaciones y buscar obtener más ingresos. Por lo anterior, el análisis de la unidad de investigación de SILIKN ha encontrado que Conti está utilizando de forma más frecuente diferentes variaciones del malware BazarBackdoor.

La alerta se disparó tras los ataques de Conti a dependencias de gobierno de Costa Rica (Ministerio de Hacienda, Ministerio de Trabajo y Seguridad Social, Fondo de Desarrollo Social y Asignaciones Familiares y Sede Interuniversitaria de Alajuela) y Perú (Dirección General de Inteligencia).

Debido al perfil que ha manejado Conti y a las vulnerabilidades detectadas, las instituciones de gobierno en México que podrían ser atacadas en el transcurso de las siguientes dos semanas son: Instituto Mexicano del Seguro Social, Secretaría de Salud, Secretaría de Hacienda y Crédito Público, Petróleos Mexicanos, Banco de México, Secretaría de Bienestar y Fondo Nacional de la Vivienda para los Trabajadores, en principio.

Por lo anterior, se recomienda ampliamente que en estas dependencias y, en general en todos los sistemas de gobierno se haga una revisión de activos tecnológicos, así como de las posibles vulnerabilidades que puedan tener. También se recomienda aplicar de inmediato las actualizaciones y parches de seguridad disponibles para los diferentes sistemas de estas instituciones.  

Conti fue detectado por primera vez en 2019 y fue uno de los grupos cibercriminales más activos en 2021. En noviembre de 2021, el número de víctimas acumuladas desde sus inicios daba cuenta que es el grupo qué más organizaciones afectó con 600.

Entre los ataques de este grupo qué más trascendieron en 2021 destaca el que impactó al sistema de salud de Irlanda y que provocó la interrupción de sus sistemas. Conti también atacó a otras 22 instituciones de salud de Estados Unidos, así como a los sectores manufacturero, alimentación, financiero, bancario, tecnología y construcción.

Entre los principales vectores de acceso inicial que utiliza Conti aparecen los correos de phishing, servicios RDP expuestos a Internet y explotación de vulnerabilidades. En el caso de los correos de phishing, se ha observado el uso de documentos adjuntos maliciosos utilizados para descargar malware o aplicaciones legítimas usadas de forma maliciosa para realizar movimientos laterales dentro de la red de la víctima y con ello descargar el ransomware.