Palo Alto Networks: Conti Ransomware Gang: Ein Überblick

30. Juni 2021 - Conti Ransomware sticht als eine der rücksichtslosesten der Dutzenden von Ransomware-Banden hervor, denen wir folgen. Die Gruppe hat mehr als ein Jahr damit verbracht, Organisationen anzugreifen, bei denen IT-Ausfälle lebensbedrohliche Folgen haben können: Krankenhäuser, Notrufdienste, Rettungsdienste und Strafverfolgungsbehörden. Irland muss sich noch von einem Angriff Mitte Mai erholen, der zur Abschaltung des gesamten Informationstechnologienetzwerks des nationalen Gesundheitssystems führte – was zur Absage von Terminen, zur Abschaltung von Röntgensystemen und zu Verzögerungen bei COVID-Tests führte.

Conti sticht auch als unzuverlässig hervor. Wir haben gesehen, wie die Gruppe ihre Opfer, die Lösegeld zahlen und erwarten, ihre Daten wiederherstellen zu können, nach ersten Versprechen dann im Stich lässt.

Das FBI hat Conti mit mehr als 400 Cyberangriffen gegen Organisationen weltweit in Verbindung gebracht, von denen drei Viertel in den USA ansässig sind, mit Forderungen von bis zu 25 Millionen US-Dollar. Das macht Conti zu einer der gierigsten Gruppen da draussen.

Conti Ransomware-Übersicht

Wir begleiten Conti seit mehr als einem Jahr bei unserer Arbeit, um Unternehmen bei der Reaktion auf Ransomware-Angriffe zu unterstützen. Es scheint eine von vielen privaten Cybercrime-Gruppen zu sein, die ihren Betrieb durch die Nutzung des boomenden Ransomware-as-a-Service (RaaS)-Ökosystems aufgebaut haben. Solche Banden gewinnen in den Netzwerken ihrer Opfer Fuss, indem sie sich Zugang von anderen Bedrohungsakteuren erkaufen. Sie können auch Infrastruktur, Malware, Kommunikationstools und Geldwäsche von anderen RaaS-Anbietern beziehen. Die meisten dieser Akteure verwenden dieselben Zugangsmethoden wie bei vielen Ransomware-Angriffen, wie Phishing-E-Mails und die Ausnutzung ungeschützter Anwendungen mit Internetzugriff, das Fehlen einer Multi-Faktor-Authentifizierung (MFA) sowie weitere, typische Zugangswege, wie z. B. durch die Verwendung von Cobalt Strike oder PowerShell.

Diese Ansätze sind nicht besonders clever oder ausgereift, aber oft effektiv. Die Methodik von Conti folgt oft dem Ansatz der „doppelten Erpressung“, den viele führende Ransomware-Gruppen derzeit verwenden. Bei der doppelten Erpressung sperren Angreifer nicht nur die Dateien eines Opfers und verlangen Lösegeld, sondern sie stehlen auch Dateien und drohen, sie auf einer Website zu publizieren oder anderweitig zu veröffentlichen, wenn ihre ursprüngliche Lösegeldforderung nicht erfüllt wird.

Aber die Methoden von Conti haben atypische Elemente.

In der Regel unternehmen die erfolgreicheren Ransomware-Betreiber grosse Anstrengungen, um einen gewissen Anschein von „Integrität“ herzustellen und aufrechtzuerhalten, um Lösegeldzahlungen von Opfern zu erleichtern. Sie wollen einen hervorragenden Ruf für „Kundenservice“ aufbauen und halten, was sie versprechen – dass, wenn Sie ein Lösegeld zahlen, Ihre Dateien entschlüsselt werden (und sie nicht auf einer Leak-Website erscheinen). Nach unserer Erfahrung bei der Unterstützung von Kunden bei der Abwehr von Angriffen hat Conti jedoch keine Anzeichen dafür gezeigt, dass ihr Ruf bei potentiellen Opfern wichtig ist.

In einem kürzlich aufgetretenen Fall hat Conti die Daten eines Kunden, der das Lösegeld bezahlt hatte, nicht zurückgegeben. Dieser Kunde erhielt nur einen kleinen Bruchteil der versprochenen Dateiwiederherstellungen, bevor die Vertreter der Conti-Ransomware wieder im Dark Web verschwanden. In einem anderen Fall benötigte unser Mandant eine Bestandsaufnahme aller abgerufenen Dateien, um Dritte zu benachrichtigen, deren Daten betroffen waren. Conti stimmte zu, diese Informationen weiterzugeben, wenn eine Zahlung geleistet wurde, änderte dann die Meinung und sagte: „Wir besitzen diese Daten nicht mehr. Sie wurden gelöscht und es gibt keine Möglichkeit, diese wiederherzustellen.“ Wie viele Ransomware-Gangs passt sich Conti ständig an Veränderungen an, einschliesslich der jüngsten verstärkten Kontrolle durch Strafverfolgungsbehörden und politische Entscheidungsträger nach hochkarätigen disruptiven Angriffen auf die Colonial Pipeline und Gesundheitsorganisationen. Als sich das irische Gesundheitssystem weigerte, Lösegeld zu zahlen, stellte Conti der Behörde einen angeblich kostenlosen Entschlüsselungsschlüssel zur Verfügung. Aber es gab eine Wendung: Die Gruppe behauptete, dass sie ihre Drohung zur „doppelten Erpressung“ wahr machen würden und gestohlene Daten auf ihrer Leak-Site veröffentlichen.

Fazit

Leider ist es oft nicht einfach, Conti aus Ihrem Netzwerk herauszuhalten. Ein primärer Infektionsweg scheint Phishing-Betrug zu sein, und Angreifer verbessern in diesem Bereich ständig ihr Spiel. Während Phishing-E-Mails früher für fast jeden leicht zu erkennen waren, insbesondere nach einigen Sensibilisierungsschulungen, sehen wir immer raffiniertere Angriffe, bei denen die Bedrohungsakteure viele Hausaufgaben zu ihren beabsichtigten Opfern gemacht haben. Manchmal senden sie eine Flut von Betrugs-E-Mails an Mitarbeiter im gesamten Unternehmen, und es braucht nur Einen, um den Anhang zu öffnen und die Malware im Netzwerk freizugeben.

Ransomware-Angriffe werden immer einfacher, und die Belohnungen für die Angreifer steigen immer noch sprunghaft an. Dementsprechend bleibt es eine Wachstumsbranche, die eine Vielzahl neuer Praktiker anziehen wird, und es ist wahrscheinlich, dass hochkarätige Ziele weiter attackiert werden.

Ganzer Artikel - Quelle: Unit42 von Palo Alto Networks:
https://unit42.paloaltonetworks.com/conti-ransomware-gang/ 

 

Bei Fragen stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, gerne zur Seite. Natürlich zeigen wir Ihnen Cortex XDR auch gerne live im Einsatz. Wir freuen uns auf Ihre Kontaktaufnahme.