Desde el mes de julio de este año TrickBot, un malware bancario modular que se está utilizando como dropper de ransomware, ha comenzado a infectar a sus víctimas con un nuevo rasomware bautizado como Conti.
Se le conoce como el sucesor de Ryuk, ya que hasta julio era Ryuk el ransomware elegido por los distribuidores de TrickBot para infectar a sus víctimas.
Conti es un ransomware nuevo, cuyo modelo de negocio para sus desarrolladores esta basado en lo que se conoce como Ransomware-as-a-Service (RaaS), que consiste en ofrecer su ransomware como si se tratase de un servicio, ofreciendo a sus clientes el software para realizar la infección y ocupándose de la configuración y mantenimiento del servidor de control.
Este nuevo ransomware ha copiado el modo de actuar de algunos de los ransomware más populares, como puede ser Ryuk y no se queda en el típico cifrado de ficheros para pedir un rescate, sino que además pide un pago adicional para que los atacantes no publiquen los ficheros robados que se envían al servidor de control antes de ser cifrados.
Con el objetivo de hacer públicos los ficheros robados y todo su contenido, los atacantes detrás de Conti han lanzado su propia página web en la que ya han comenzado a subir ficheros con información sensible de empresas conocidas que han sido atacadas y no han pagado.
Con este tipo de movimientos los atacantes buscan maximizar su beneficio, ya que al pedir un rescate para recuperar los ficheros un parte importante de sus víctimas podían simplemente no pagar y utilizar las copias de seguridad de las que disponían. Sin embargo, de esta forma se busca poner a las empresas en una situación complicada, ya que si no pagan sus datos serán expuestos, lo que supone un problema para su reputación.