Conti-Ransomware zielt auf Europa

Der Europäische Rat stellte fest, dass Cyberangriffe in Europa stark zugenommen haben, und führte dies auf die COVID-19-Pandemie zurück. Eine Umfrage unter IT-Entscheidungsträgern in britischen und US-amerikanischen Unternehmen ergab, dass mehr als 50 % der Unternehmen in den letzten 18 Monaten Opfer eines Ransomware-Angriffs geworden sind. Einem Bericht zufolge waren in Deutschland im Jahr 2021 mehr als 70 % der Unternehmen von Cyberangriffen betroffen. Diese Situation spiegelt sich auch in Spanien wider, wo seit Beginn der Pandemie mehr als 150.000 Cyberangriffe stattgefunden haben.

In den zurückliegenden Jahren hat der Anteil an Ransomware bei Cyberattacken rapide zugenommen. Allein im Jahr 2021 hat sie weltweit Schäden von über 20 Milliarden US-Dollar verursacht. Dabei sind in der jüngsten Zeit auch und vor allem Regierungsorganisationen, Institutionen des Gesundheitswesens sowie kritische Infrastruktur ins Visier der Angreifer geraten. Kriminelle Gruppen, die Ransomware „as a service“ (RaaS) anbieten, haben große Teile des Geschäfts übernommen – und weisen dabei scheinbar ähnliche Strukturen auf wie jene Unternehmen, die von ihnen angegriffen werden, vom Kundenservice bis zum Training neuer Mitarbeiter. Ein Datenleck bei Conti, einer der erfolgreichsten RaaS-Gruppierung, gibt einige interessante Einblicke in die Funktionsweise solcher „Unternehmen“.

Der Sicherheitsanbieter Akamai Technologies hat die Ergebnisse seiner Untersuchungen im „Ransomware Threat Report EMEA Deep Dive H1 2022“ veröffentlicht. Experten von Akamai haben herausgefunden, welche Mechanismen dem Vorgehen von RaaS-Anbietern zugrunde liegen – und sich bislang als höchst effektiv erwiesen haben. Die Erkenntnisse und Ergebnisse dieses Prozesses sind jetzt in einem Report zusammengefasst, der Trends und Tools ebenso benennt wie mögliche Gegenmaßnahmen. Auf Basis der von Conti öffentlich gemachten Informationen über die Angriffe wurden vor allem vier EMEA-Länder identifiziert, die am häufigsten attackiert wurden: Deutschland, Großbritannien, Italien und Frankreich. Dabei scheint gerade die Fertigungsindustrie ein bevorzugtes Opfer zu sein, wie die Conti-Leaks in EMEA zeigen. Solche Angriffe sind für sie brandgefährlich und können sogar ganze Lieferketten lahmlegen.

• Die Top Four der meistattackierten Länder in EMEA sind Großbritannien (26%), Deutschland (17%), Italien (17%) sowie Frankreich (13%).
• In der EMEA-Region haben die meisten von Conti realisierten Angriffe Unternehmen der Fertigungsindustrie (33%) sowie Business Service-Anbieter betroffen (14%).
• Besonders bemerkenswert: In EMEA wurde mit 65 Prozent ein signifikanter Anteil an registrierten Angriffen auf Unternehmen verübt, die jährliche Einnahmen von weniger als 250 Millionen US-Dollar haben.
• Nur 12 Prozent der Unternehmen in Großbritannien haben ihre Drittanbieter auf Anfälligkeit für Cyber-Attacken überprüft.

Die Angriffsszenarien sind facettenreich und detailorientiert, wobei der Schwerpunkt auf der Netzwerkausbreitung „mit den Händen an der Tastatur“ liegt. – Die Taktiken, Techniken und Verfahren (TTPs) sind bekannt, aber äußerst effektiv und helfen dabei, die von anderen Ransomware-Gruppen häufig verwendeten Tools zu entlarven.

Als wichtige Abwehrmaßnahme gegen Ransomware ist es für Sicherheitsexperten sehr ratsam, die TTPs zu überwachen und zu blockieren, die bei lateralen Bewegungen eingesetzt werden. Die Tatsache, dass Conti den Schwerpunkt auf das Hacken und die praktische Verbreitung legt und nicht auf die Entschärfung der Verschlüsselung, sollte Netzwerkverteidiger dazu veranlassen, sich auf alle Aspekte der Kill Chain zu konzentrieren, anstatt sich nur auf die Verschlüsselungsphase zu konzentrieren.