Trotz massivem Daten-Leak: Ransomware-Gruppe Conti weiterhin aktiv

Die Conti-Ransomware-Bande führt immer noch aktiv Kampagnen gegen Opfer auf der ganzen Welt durch, obwohl das Innenleben der Gruppe durch Datenlecks aufgedeckt wurde. Trotz der Enthüllung von Details wie beteiligte Personen, Chatprotokolle und internen Abläufen halten die Conti-Mitglieder laut einer Analyse der NCC Group an vielen bekannten Vorgehensweisen fest.

So nutzen die Angreifer nutzen eine Reihe von anfänglichen Zugangsvektoren, um in Netzwerken Fuß zu fassen, darunter Phishing-E-Mails mit dem Trojaner Qakbot und die Ausnutzung anfälliger Microsoft Exchange Server. Zu den weiteren Techniken gehört die Nutzung öffentlich zugänglicher Sicherheitslücken, darunter Schwachstellen in VPN-Diensten und Log4J-Java-Bibliotheken. Die Angreifer versenden auch Phishing-E-Mails über legitime kompromittierte Konten.

Neben der Verschlüsselung von Netzwerken und der Forderung nach Zahlung des Entschlüsselungsschlüssels ist eines der Hauptmerkmale der Ransomware-Angriffe von Conti der Diebstahl sensibler Daten von Opfern und die Drohung, diese zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Es überrascht vielleicht nicht, dass Conti seine Taktik nicht geändert hat, nachdem sie selbst Opfer von Informationslecks geworden sind, und dass sie weiterhin große Datenmengen von Opfern stehlen, um sie als zusätzliches Druckmittel für doppelte Erpressungsangriffe zu verwenden.

Wie von Forschern beschrieben, nutzen viele Conti-Kampagnen ungepatchte Schwachstellen aus, um sich Zugang zu Netzwerken zu verschaffen. Unternehmen sollten daher sicherstellen, dass Sicherheits-Patches für bekannte Schwachstellen so schnell wie möglich installiert werden, um potenzielle Eindringlinge abzuwehren.