Ransomware-Gang veröffentlichte Daten von 47 deutschen Unternehmen

Conti gilt als eine der erfolgreichsten Ransomware-Gruppen. Die Existenz der Gang wurde erstmals im Februar 2020 bekannt, als Schaddateien mit der Endung „.сonti“ auf dem Radar der Group-IB-Forscher erschienen. Die ersten Testversionen der Malware stammen jedoch bereits aus dem November 2019.

Seit 2020 dominiert Conti neben Maze und Egregor die Ransomware-Szene in Bezug auf die Anzahl der Unternehmen, deren Daten verschlüsselt wurden. Im Jahr 2020 veröffentlichte Conti die Daten von 173 Opfern auf einer eigenen dedizierten Leak-Seite (DLS). Ende 2021 zählte Conti zu den größten und aggressivsten Gruppen aufgrund der Veröffentlichung der Daten von 530 Unternehmen auf ihrer DLS. In nur vier Monaten im Jahr 2022 veröffentlichte die Gruppe darüber hinaus Daten von 156 Unternehmen, sodass innerhalb von Jahren insgesamt 859 Leakage-Opfer, darunter 47 deutsche Unternehmen, zu verzeichnen sind. Allein im April 2022 wurden weltweit die Daten von 46 Organisationen veröffentlicht. Es wird angenommen, dass die tatsächliche Anzahl der betroffenen Organisationen deutlich höher liegt.

Conti und ihre Anhänger greifen häufig und schnell an. Group-IB-Experten analysierten eine der rasantesten und produktivsten Kampagnen der Gruppe mit dem Codenamen „ARMattack“. Die Kampagne dauerte zwar nur etwa einen Monat (vom 17. November bis 20. Dezember 2021), erwies sich aber als äußerst effektiv. Die Angreifer kompromittierten in diesem Zeitraum mehr als 40 Organisationen weltweit. Die meisten Angriffe wurden in den USA durchgeführt (37 %), aber die Kampagne breitete sich auch in Europa aus – mit Opfern in Deutschland (3 %), der Schweiz (2 %), den Niederlanden, Spanien, Frankreich, der Tschechischen Republik, Schweden und Dänemark (jeweils 1 %).

In der Vergangenheit waren die fünf am häufigsten von Conti attackierten Branchen das verarbeitende Gewerbe (14 %), der Immobiliensektor (11,1 %), die Logistikbranche (8,2 %), die Dienstleistungsbranche (7,1 %) und der Handel (5,5 %). Nachdem sie sich Zugang zur Infrastruktur eines Unternehmens verschafft haben, exfiltrieren die Bedrohungsakteure bestimmte Dokumente (meist um festzustellen, mit welcher Organisation sie es zu tun haben) und suchen nach Dateien mit Passwörtern (sowohl im Klartext als auch verschlüsselt). Nachdem sich die Hacker alle erforderlichen Berechtigungen und Zugang zu allen gewünschten Geräten verschafft haben, installieren sie die Ransomware auf allen Geräten und führen sie aus. Laut dem Threat-Intelligence-Team von Group-IB wurde der schnellste Angriff der Bande in genau drei Tagen durchgeführt, vom ersten Zugriff bis zur eigentlichen Verschlüsselung der Daten.

Group-IB hat erstmals auch die „Arbeitszeiten“ von Conti analysiert. Höchstwahrscheinlich befinden sich die Gruppenmitglieder in verschiedenen Zeitzonen. Der Zeitplan zeugt jedoch von höchster Effizienz: Conti „arbeitet“ im Durchschnitt 14 Stunden pro Tag, 7 Tage die Woche. Keine Feiertage („Neujahrsfeiertage“ ausgenommen), keine Wochenenden. Die Gruppe beginnt ihre Arbeit gegen Mittag (GMT+3) und ihre Aktivität nimmt erst nach 21:00 Uhr ab.

Contis Angriffe sind geografisch weit gestreut, umfassen aber nicht Russland. Die Gruppe hält sich eindeutig an die unausgesprochene Regel unter russischsprachigen Cyberkriminellen: Greife keine russischen Unternehmen an. Die meisten Attacken erfolgen in den Vereinigten Staaten von Amerika (58,4 %), gefolgt von Kanada (7 %), dem Vereinigten Königreich (6,6 %), Deutschland (5,8 %), Frankreich (3,9 %) und Italien (3,1 %).

Ein weiterer Grund dafür, keine russischen Unternehmen ins Visier zu nehmen: Wichtige Conti-Mitglieder bezeichnen sich selbst als „Patrioten“. Diese Tatsache war die Ursache eines „internen Gruppenkonflikts“ im Februar 2022, der dazu führte, dass einige wertvolle Informationen von Conti online durchsickerten. Zu den veröffentlichten Daten gehörten private Chatprotokolle, die von ihnen genutzten Server, eine Liste der Opfer und Details zu Bitcoin-Wallets, in denen insgesamt über 65.000 BTC deponiert waren. Aus den geleakten Chats ging hervor, dass die Gruppe in ernsthaften finanziellen Schwierigkeiten steckte und ihr Chef von der Bildfläche verschwunden war. Dennoch waren die Mitglieder bereit, das Projekt nach zwei bis drei Monaten wieder aufzunehmen.

Trotz des „Dolchstoßes“ und der zunehmenden Aufmerksamkeit der Strafverfolgungsbehörden wuchs der Appetit von Conti weiter an. Sie griffen nicht nur große Unternehmen, sondern auch ganze Länder an. Contis „Cyberkrieg“ gegen Costa Rica führte im April 2022 zur Ausrufung des Ausnahmezustands.

Conti hat eng mit anderen Ransomware-Betreibern wie Ryuk, Netwalker, LockBit und Maze zusammengearbeitet. Sie testeten sogar die Ransomware von Maze, unterzogen sie einem Reverse-Engineering und verbesserten damit ihre eigene Ransomware erheblich. Eine Analyse der ARMattack-Kampagne ergab, dass das Arsenal der Gruppe nicht nur die zuvor beschriebenen Windows-Tools umfasste, sondern auch Linux-Ransomware: Conti und Hive.

Allerdings neigt die Gruppe dazu, einzigartige Tools zu entwickeln, ohne Codefragmente zu recyceln. Auf diese Weise können beim Vergleich des Codes für ihre Tools keine gemeinsamen Muster erkannt werden. Bevor die Chatprotokolle geleakt wurden, konnten Cybersicherheitsforscher nur vermuten, dass es sich bei einigen RaaS-Partnerprogrammen („Ransomware as a Service“) in Wirklichkeit um Geschäftseinheiten von Conti handelt. Zugleich war die Interaktion umfangreich. Manchmal nutzte Conti den Netzwerkzugang von anderen Erstzugangsvermittlern, in anderen Fällen teilte die Gang ihren eigenen Zugang für bescheidene 20 % des Umsatzes.

Wie seriöse IT-Unternehmen verfügt Conti über eigene Abteilungen für Personal, Forschung und Entwicklung sowie „Open Source Intelligence“ (OSINT). Es gibt Teamleiter, regelmäßige Gehaltszahlungen und Förderprogramme.

Eine Besonderheit von Conti ist die Ausnutzung neuer Schwachstellen, um den Erstzugang zum Opfer-Netzwerk zu erhalten. So wurde Conti beispielsweise dabei beobachtet, wie sie die jüngsten Sicherheitslücken CVE-2021-44228, CVE-2021-45046 und CVE-2021-45105 im log4j-Modul ausnutzten. Weniger als eine Woche später nutzte Conti diese Schwachstellen aus, um vCenter-Server anzugreifen. Die durchgesickerten Chatprotokolle zeigten auch, dass die Gruppe neue Schwachstellen sorgfältig überwacht. Eine der Aufgaben des Conti-Chefs an das technische Team waren die Überwachung von Windows-Updates und die Analyse von Änderungen, die mit neuen Patches vorgenommen wurden – was einmal mehr die Notwendigkeit unterstreicht, Updates so schnell wie möglich zu installieren. Darüber hinaus gehören zur Conti-Crew Spezialisten mit Erfahrung in der Entdeckung von Zero-Day-Lücken.

„Die zunehmenden Aktivitäten von Conti und das Datenleck deuten darauf hin, dass Ransomware nicht länger ein Spiel zwischen durchschnittlichen Malware-Entwicklern ist, sondern eine illegale Ransomware as a Service (RaaS) Industrie, die Tausenden von Cyberkriminellen mit unterschiedlichen Spezialisierungen weltweit Arbeit beschert“, sagt Ivan Pisarev, Leiter des Dynamic Malware-Analysis-Teams in der Abteilung Threat-Intelligence von Group-IB. „In dieser Sparte ist Conti ein berüchtigter Akteur, der tatsächlich ein ‚IT-Unternehmen‘ gegründet hat, dessen Ziel es ist, große Summen zu erpressen. Es ist schwer vorherzusagen, was mit Conti in Zukunft geschehen wird: ob es nach einem groß angelegten Rebranding weiterarbeiten oder in kleinere Teilprojekte aufgeteilt werden wird. Klar ist jedoch, dass die Organisation ihre Tätigkeit fortsetzen wird, entweder allein oder mithilfe von Projekten aus Untergruppen.“

Jakob Jung

Recent Posts

So erkennen Sie Deepfakes

Deepfakes werden bei Cyberkriminellen immer beliebter. Um sich zu schützen, können Sie diese Schwachstellen in…

19 Minuten ago

Sicherer surfen mit Microsoft Edge

Der Browser Microsoft Edge bietet erweiterte Sicherheitsfunktionen, die beim Surfen im Internet und beim Besuch…

51 Minuten ago

Modernes Schwachstellen-Management

Die Sicherheit für Informationstechnologie (IT) ist etabliert, aber bei Operational Technologie (OT) ist noch vieles…

16 Stunden ago

So wehren Sie DDoS-Angriffe ab

Distributed-Denial-of-Service (DDoS)-Attacken werden immer gefährlicher. Wie Unternehmen mit dieser Gefahr umgehen sollten, schildert Security-Spezialist Steffen…

17 Stunden ago

Vor Lieferengpässen wappnen

Lieferengpässe haben sich durch den Ukraine-Krieg und die Energiekrise verschärft. Um sich auf Schwierigkeiten mit…

17 Stunden ago

Deepfake-Angriffe und Cyber-Erpressung

Sicherheitsteams müssen mit einer Vielzahl an Bedrohungen fertig werden. Das ist spannend, aber auch sehr…

18 Stunden ago