Was ist Conti Ransomware?

Im Zusammenhang mit Cybersicherheit erinnert Conti an die Vorstellung von ruchlosen Hackergruppen, die in der Lage sind, die sichersten Systeme und Netzwerke lahmzulegen. Es beschreibt auch ausgeklügelte Ransomware, die von den oben genannten Kriminellen entwickelt und verwendet wird, um Unternehmen auf der ganzen Welt anzugreifen. Obwohl die von Russland unterstützte Ransomware-Gruppe Conti nur wenige Jahre laktiv war, nutzte sie schädliche Tools aller Art und aggressive Erpressungstaktiken, um Hunderte Millionen Dollar zu erbeuten. Zwar gibt es die Gruppe inzwischen nicht mehr, aber Conti und ähnliche Ransomware-Tools sind immer noch aktiv.

Wenn Cyberkriminelle Conti im Netzwerk eines Opfers einsetzen, breitet sich das Ransomware-Tool schnell aus, verschlüsselt Daten und überträgt sie an einen Remote-Standort. Ziel ist die vollständige Kontrolle der Daten eines Opfers und die anschließende Erpressung von Lösegeld. Ohne einen Entschlüsselungsschlüssel können die Opfer nicht mehr auf ihre Daten zugreifen. Da der Angreifer die Daten ebenfalls heruntergeladen hat, verstärkt er seinen Erpressungsversuch mit der Drohung, vertrauliche Informationen offenzulegen. Obwohl beide Szenarien – Verlust des Datenzugriffs und Datenlecks – zu ernsthaften Schäden für ein Unternehmen führen können, hilft die Zahlung von Lösegeld oft nicht, die Situation zu bewältigen.

Funktionsweise

Die Conti-Gruppe trat als Ransomware-as-a-Service (RaaS)-Partnerprogramm auf. Die Gruppe löste 2019 eine andere Bande ab und begann, die ausgeklügelte Ransomware-Technologie von Conti zum Kauf oder zur Vermietung an Partner anzubieten, die damit Angriffe durchführen wollten. Ein Angriff erfordert den Einsatz von Conti-Ransomware, obwohl in den meisten Fällen ein Live-Akteur daran arbeitet, Systeme mit einer Vielzahl von Tools und Techniken zu knacken.

Aus diesem Grund müssen sich Organisationen auf alle Eventualitäten vorbereiten. Ein guter Ausgangspunkt ist hierbei das ATT&CK-Framework, das von der gemeinnützigen Organisation MITER entwickelt wurde. Dieses Framework ist eine umfassende Wissensbasis zu Angriffen und Reaktionsstrategien. Es basiert auf der Beobachtung realer Cyberangriffe und bietet detaillierte Verfahren, die Unternehmen dabei unterstützen, diese Bedrohungen zu erkennen und abzuwehren.

Erster Zugriff

Jeder Ransomware-Angriff beginnt damit, dass Angreifer versuchen, sich Zugriff auf das Netzwerk eines Opfers zu verschaffen. Ein typischer Ansatz sind Phishing-Angriffe über E-Mails mit einem scheinbar harmlosen Word-Dokument oder einer Zip-Datei im Anhang. Bei diesen Anhängen handelt es sich jedoch um Malware, die Exploits der ersten Stufe wie Cobalt Strike einsetzen. Bei einer anderen Methode wird über Netzwerkscans nach offenen RDP-Ports gesucht und über diese erfolgt eine Anmeldung mit gestohlenen Daten. Sobald sie eingedrungen sind, verwenden Angreifer eine Vielzahl von Tools (sowohl Malware als auch Open-Source-Tools), um im Netzwerk zu navigieren, Datenspeicher zu finden und die Sicherheit zu beeinträchtigen. Aus diesem Grund sind eine sorgfältige Bereitstellung und absolute Sicherheit für Unternehmen mit Remote-Mitarbeiterzugriff unerlässlich.

Andere Techniken nutzen Schwachstellen von Standardtools wie Active Directory, das Kennwort-Hashes auf Festplatte und im Arbeitsspeicher ablegt. Diese lassen sich mit Tools wie Mimikitz leicht aushebeln, sodass Angreifer über administrative Anmeldeinformationen verfügen und weitreichenden Zugriff auf das Netzwerk und seine Daten erhalten.ermöglicht. Für jedes Unternehmen, das Windows Server nutzt, ist die Implementierung einer internen Sicherung für Active Directory eine kluge Entscheidung.

Lateralverschiebung

Sobald Angreifer in ein Netzwerk eingedrungen sind, setzen sie die Conti-Ransomware ein, die sich im gesamten Netzwerk ausbreiten kann. Währenddessen verwendet der ausgeklügelte Code von Conti eine Multithreading-Technik, um Daten schnell zu verschlüsseln, sowie verschiedene Verschleierungstechniken, um Sicherheitsebenen zu umgehen. Diese Strategie maximiert den Schaden, den Conti verursacht, bevor Endpunktlösungen den Angriff erkennen und stoppen können.

Seine Geschwindigkeit und Effizienz bei der Verbreitung verdankt Conti seiner lateralen Bewegungsfähigkeit in einem Netzwerk – insbesondere dem SMB-Protokoll (Server Message Block). Alle Microsoft Windows-Systeme verwenden SMB für die Kommunikation mit Geräten, z. B. mit Netzwerkdruckern. Anstatt herkömmlichen Netzwerkgeräten zu folgen, breitet sich Conti über das SMB-Protokoll aus, was seine Erkennung und Eindämmung außerordentlich schwierig macht. Durch die Konfiguration des Windows-SMB-Clientparameters wird diese laterale Ausbreitung behindert. 

Exfiltration und Verschlüsselung

Sobald sie vollständig in ein Netzwerk eingedrungen sind, verwenden Angreifer Open-Source-Tools wie Rclone, um die Daten eines Opfers zu einem Cloud-Storage-Provider zu exfiltrieren. Ziel ist es, eine Markierung durch Sicherheitssysteme zu verhindern, die verdächtige Netzwerkaktivitäten überwachen. Inzwischen versuchen Angreifer im Rahmen ihrer Strategie auch, Backups zu löschen oder zu beschädigen. Dadurch wird es für die Opfer schwieriger, ihre Daten ohne Zahlung eines Lösegelds zurückzuerhalten. Viele Teams vergessen, dass sichere Backups isoliert aufbewahrt werden sollten. Doch dieses Versäumnis kann teuer werden, wenn Ransomware im Spiel ist.

Erpressung (Ransomware)

Oft verbringen die Angreifer Tage oder Wochen in einem Netzwerk, um Daten zu verschlüsseln und zu übertragen und Backups zu zerstören. Wenn sie Lösegeld fordern, ist es oft bereits zu spät: Die Daten des Opfers sind bereits verschlüsselt, sodass ohne den Entschlüsselungsschlüssel nicht mehr darauf zugegriffen werden kann. Die Kriminellen verlangen Millionen von Dollar im Austausch für diesen Schlüssel und da der Verlust so großer Datenmengen für jedes Unternehmen verheerende Folgen hat, werden diese Forderungen oft auch erfüllt.

Ein Conti-Angriff beinhaltet auch die Drohung der Offenlegung von Daten. Die Kriminellen nutzen eine zusätzliche Erpressungsebene, indem sie damit drohen, sensible Informationen offenzulegen, wenn die Opfer das geforderte Lösegeld nicht bezahlen. Die Drohung, vertrauliche Geschäfts- oder Kundendaten preiszugeben, zwingt viele Unternehmen zur Zahlung von Lösegeld.

Geschichte und Zukunft der Conti-Attacken

Die Conti-Ransomware-Bande hat sich als eine der gefürchtetsten und berüchtigtsten Cybercrime-Gruppen der Geschichte etabliert. Innerhalb weniger Jahre koordinierte die Gruppe zahlreiche hochkarätige Angriffe, darunter Cyberangriffe auf Unternehmen, Gesundheitseinrichtungen, Kommunen und sogar nationale Regierungen.

Gründung, Mitgliedschaft und Struktur

Die Conti-Gruppe entstand um 2019 oder 2020 mit dem Ziel Ryuk, eine weitere Ransomware- und Hacker-Gruppe, zu ersetzen. Wie schon bei der Vorgängergruppe gehen die meisten Sicherheitsanalysten davon aus, dass Conti von Hackern mit Verbindungen nach Russland angeführt wurde. Als Ransomware-as-a-Service-Organisation vermietete die Gruppe ihre Technologie und Infrastruktur an andere Gruppen und Hacker, die sie für Angriffe nutzten. Die Conti-Gruppe erhielt Provisionen für erfolgreiche Angriffe.

Teil der Infrastruktur von Conti war eine Website, über die vertrauliche Daten veröffentlicht wurden, die bei erfolgreichen Angriffen ausgeschleust wurden. Die Website wurde im August 2020 gestartet und hatte bis Ende desselben Jahres Daten von mehr als 150 Organisationen offengelegt. Während es in der Cyberkriminalität nicht ungewöhnlich ist, anderen Hackern Malware und Infrastruktur zur Verfügung zu stellen, um Gewinne zu erzielen, war der Ansatz der Conti-Gruppe einzigartig.

Die Conti-Gruppe beteiligte sich aktiver an Angriffen und stellte sogar Hacker als Mitarbeiter ein. Sie nutzte Geschäftspraktiken, die in Technologieunternehmen üblich sind, und rekrutierte „Mitarbeiter“ mit dem Versprechen von Vorteilen und hohen Gehältern. Zu einem bestimmten Zeitpunkt gab es eine aktive Personalabteilung. Es sollte keine Überraschung sein, dass die Conti-Gruppe als kriminelles Syndikat galt und immer noch gilt.

Bekannte Angriffe

Im März 2021 infiltrierte Conti Health Service Executive in Irland und verschaffte sich Zugang zum vollständigen Netzwerk mit 70.000 Geräten. Bis 14. Mai 2021 hatte Conti Terabytes an Daten verschlüsselt und die Infrastruktur des Krankenhauses lahmgelegt. Conti gab an, mehr als 700 GB an Daten exfiltriert zu haben, darunter persönliche Informationen über Patienten, Mitarbeiter und Auftragnehmer. Die Gruppe forderte 20 Millionen USD, um ihre Aktionen rückgängig zu machen.

Der damalige irische Premierminister Micheal Martin kündigte im Fernsehen an, dass die Regierung das Lösegeld nicht zahlen werde. Am 20. Mai veröffentlichte das FBI eine Erklärung, in der ähnliche Angriffe von Conti auf Gesundheits- und Ersthelfernetzwerke in den USA und der übrigen Welt beschrieben wurden, und bat um Informationen über die Aktivitäten der Gruppe.

Am 29. September 2021 gab JVCKenwood bekannt, dass einige seiner Server in Europa gehackt und möglicherweise Kundendaten kompromittiert wurden. Am nächsten Tag erhielt die Nachrichtenseite Bleeping Computer eine Kopie der Lösegeldforderung, die an JVCKenwood geschickt wurde und Conti als Angreifer und Lösegelderpresser identifizierte. Die Gruppe gab dabei an, dass sie fast 2 TB Daten gestohlen habe, wofür sie 7 Millionen USD forderte.

Im Mai 2021 ereignete sich ein ähnlicher Angriff in Tulsa, Oklahoma, als Ransomware das Netzwerk der Stadt lahmlegte, was zu Unterbrechungen der Online-Systeme führte. Die Conti-Gruppe bekannte sich dazu und veröffentlichte fast 19.000 Dateien – vor allem Polizeivorladungen und interne Word-Dokumente. Als Reaktion darauf gab die Stadt eine Warnung heraus, dass mit diesen Dateien möglicherweise persönliche Informationen offengelegt wurden.

Contis berüchtigtster Anschlag ereignete sich von Mitte April bis Ende Mai 2022. Nach wochenlangen Angriffen in Costa Rica rief die Regierung als erstes Land als Reaktion auf einen Cyberangriff den nationalen Notstand aus. Die Ransomware-Bande attackierte die Netzwerke und Systeme Dutzender Regierungsbehörden, darunter das Finanzministerium und das Ministerium für Arbeit und soziale Sicherheit. Die verheerenden Angriffe kosteten die Regierung Millionen von Dollar und zeigten, dass eine Hackergruppe ein ganzes Land vollständig ins Chaos stürzen kann.

Rebranding

Viele Cybersicherheitsfirmen glauben, dass der Angriff der Conti-Bande auf Costa Rica ein ausgeklügelter Trick war, um die Aufmerksamkeit von ihren Rebranding-Bemühungen abzulenken. Kurz vor Beginn des Angriffs hatte die Gruppe bereits mit der Demontage der Marke Conti begonnen. Im Mai 2022 erklärte das Cybersicherheitsunternehmen AdvIntel die kriminelle Hackergruppe offiziell für tot.

Obwohl niemand es genau weiß, glauben viele Experten, dass sich die Gruppe nach dem Einmarsch Russlands in die Ukraine am 24. Februar 2022 aufgrund interner Spaltungen aufgelöst hat. Am Tag nach Beginn der Invasion kündigte Conti seine Unterstützung für Russland an. Zwei Tage später, am 27. Februar, legte ein neuer Twitter-Account mehr als 170.000 interne Chat-Protokolle der Gruppe sowie den Quellcode der Conti-Ransomware offen.

Das Leck lieferte eine Fundgrube an Informationen für Sicherheitsanalysten, einschließlich genauer Tools und Methoden, die von Hackern verwendet werden, um Unternehmen auf der ganzen Welt zu infiltrieren. Es zeigte auch, wie gut die Gruppe organisiert war und wie ein High-Tech-Startup mit etablierten Positionen und Hierarchien arbeitete, einschließlich Programmierern, Systemadministratoren, Personalvermittlern und Führungskräften.

Am 24. Juni, einen Monat nach dem Ende des Angriffs auf Costa Rica, wurden die letzten Websites der Conti-Gruppe dunkel und markierten damit das Ende eines der berüchtigtsten Cybercrime-Syndikate der Geschichte. Aber die gesichtslosen Hacker, die Conti zu dem gemacht haben, was es war, sind nicht ins Gefängnis gegangen oder verschwunden. Während ihres letzten Angriffs zerstreuten die Kriminellen sich still und leise und zogen zu neuen Gruppen und Banden weiter.

So erkennen Sie einen Conti-Angriff

Ein Conti-Angriff hat per Definition viele Facetten. Dabei handelt sich um zahlreiche Angriffsvektoren, die sich in der Regel über mehrere Tage erstrecken. Da die Angreifer während des gesamten Angriffs auf gängige, sofort verfügbare Tools zurückgreifen, ist die Erkennung schwierig. Es gibt jedoch Anzeichen, die ins Auge fallen, wenn Sie wissen, worauf sie achten müssen. Eine Methode dafür ist das sorgfältige Netzwerk-Monitoring. Tools zum Echtzeit-Monitoring können Administratoren warnen, wenn ein Ereignis einen bestimmten Schwellenwert erreicht (z. B. fehlgeschlagene Anmeldeversuche oder das Scannen mehrerer Ports).

Ein weiterer Indikator ist die Zunahme von Phishing-E-Mails. Ransomware-Angreifer nutzen Phishing, um Anmeldedaten zu stehlen, Systeme im Netzwerk zu kompromittieren und sich Zugriff zu verschaffen. Unternehmen können die Wahrscheinlichkeit verbessern, einen Angriff in seinen frühesten Stadien zu erkennen, indem sie sicherstellen, dass Mitarbeiter verdächtige E-Mails richtig identifizieren und kennzeichnen und so die Sicherheitsteams alarmieren.

Bekämpfung von Conti-Angriffen

Die Implementierung der Multifaktorauthentifizierung für alle Benutzer ist eine der effektivsten Maßnahmen, um Ihr Unternehmen vor Ransomware-Angriffen wie Conti zu schützen. Die Multifaktorauthentifizierung verlangt von den Benutzern zwei oder mehr Formen der Identifizierung, um auf sichere Konten zugreifen zu können, was es für Hacker äußerst schwierig macht, sich über kompromittierte Passwörter Zugang zu verschaffen.

Die Implementierung und Aufrechterhaltung einer robusten Netzwerksegmentierung ist ein weiterer Schritt, um Ihr Unternehmen vor Ransomware-Bedrohungen zu schützen. Netzwerksegmentierung unterstützt die Eindämmung von Malware, indem Netzwerke und Funktionen voneinander isoliert werden, wodurch die laterale Ausbreitung von Ransomware wie Conti verhindert wird. 

Einige weitere Sicherheitsstrategien sind:

• Verwendung von Sicherheitssoftware: Nutzung von Endpoint- und Detection-Response-Tools, um die Transparenz der Sicherheit von Endgeräten zu erhöhen und sich vor Cyberkriminellen zu schützen. Verwendung von Antiviren- und Antimalwareprogrammen, um regelmäßige Scans von Netzwerkressourcen mit aktuellen Signaturen durchzuführen.
• Einschränken des Netzwerkzugriffs:  Schränken Sie das Remote Desktop Protokol (RDP) ein, wenn es nicht verwendet wird. Falls RDP als notwendig erachtet wird, beschränken Sie nach einer Risikobewertung die Ursprungsquellen und verlangen Sie eine Multifaktor-Authentifizierung.
• Nutzung von Anwendungsrichtlinien: Stellen Sie sicher, dass die gesamte mit dem Netzwerk verbundene Software, einschließlich Betriebssystemen und Anwendungen, zeitnah aktualisiert wird. Erwägung der Verwendung eines zentralisierten Patch-Management-Systems, um Richtlinien zu definieren.
• Verwaltung der Anwendungssicherheit: Entfernen Sie alle unnötigen Anwendungen aus dem täglichen Betrieb, da Conti-Akteure bei Angriffen viele Standardtools verwenden. Überwachung derListe der Tools der CISA, um zu sehen, welche leicht verfügbare Software Cyberkriminelle verwenden.

Sicherstellung von sicheren Backups als Ransomware-Schutz in Ihrem Unternehmen als effektivste Methode, die Auswirkungen von Datenerpressungen zu verhindern. Entwicklung einer sicheren und zuverlässigen Backup-Strategie, wodurch sich Unternehmenvor Datenverlust durch Verschlüsselung und Exfiltration schützen können.

Was ist im Falle einer Infektion zu tun?

Cybersicherheit ist ein ständiger Kampf. Auch Unternehmen mit äußerst ausgeklügelten Sicherheitsvorkehrungen können Opfer neu entdeckter Schwachstellen werden. Mit dem nötigen Know-how,auf Ransomware-Angriff entsprechend zu reagieren, können die schwerwiegendsten Folgen vermieden werden. Das schlimmste mögliche Ergebnis wäre die Zahlung von Lösegeld.

Unternehmen sollten bei Ransomware-Angriffen kein Lösegeld zahlen. Unabhängige Sicherheitsfirmen sowie die CISA, das FBI und die NSA raten einstimmig davon ab. Dies ermutigt zu weiteren Angriffen der ursprünglichen Akteure und neuer Gruppen. Wenn die Personen beschließen, den Entschlüsselungsschlüssel nach Zahlung des Lösegelds nicht herauszugeben, steht das Unternehmen schlechter da als vor dem Angriff.

Befolgen Sie stattdessen diese Schritte, wie von der oben genannten Organisation empfohlen:

1. Halten Sie sich an die Checkliste für den Umgang mit Ransomware-Angriffen in der gemeinsamen Ransomware-Anleitung.
2. Wenn möglich, sollten Sie Backups mit einem Antivirenprogramm prüfen, um sicherzustellen, dass sie nicht infiziert sind.
3. Melden Sie den Vorfall sofort der CISA, einer FBI-Außenstelle oder einer Außenstelle des US Secret Service.

Im Falle eines Angriffs müssen Unternehmen schnell handeln, um den Schaden einzudämmen und eine weitere Ausbreitung zu verhindern. Bevor mit der Wiederherstellung begonnen werden kann, müssen Sie zunächst den Typ der Ransomware identifizieren und den Umfang des Schadens einschätzen. Die Initiativen sollten sich darauf konzentrieren, zuerst mit einem priorisierten Konzept die kritischsten Systeme und Daten wiederherzustellen, um Ausfallzeiten und die Auswirkungen des Angriffs zu begrenzen.

Die Wiederherstellung von Daten nach einem Ransomware-Angriff ist eine immense Herausforderung. Die Wiederherstellung von Systemen, Services und Daten ist zeitaufwändig und teuer, ganz abgesehen von Unterbrechungen des Geschäftsbetriebs. Die Kommunikation mit Stakeholdern und Kunden ist ebenso wichtig – genauso wie der Wiederaufbau von Beziehungen. Fazit ist: Eine umfassende Backup- und Wiederherstellungsstrategie minimiert neben regelmäßigen Tests auch die Risiken eines Worst-Case-Szenarios bei einem Ransomware-Angriff.

So kann Veeam unterstützen

Der effektivste Schutz vor Ransomware und ähnlichen Angriffen ist eine starke Strategie für Datensicherung und -wiederherstellung. Mit dem Veeam-Konzept „Verhindern, Erkennen und Wiederherstellen " können Unternehmen die Auswirkungen von Ransomware abschwächen, indem sie sich vor Datenverlust aufgrund von Verschlüsselung oder Datenbeschädigung schützen. Kein Unternehmen ist vollständig vor Ransomware-Angriffen gefeit, aber Veeam kann dabei unterstützen, Daten vor irreparablen Verlusten zu schützen und Verwicklungen in die Aktivitäten von Cyberkriminellen zu vermeiden.