Hydra-Effekt: Conti-Ransomware-Gang stellt Aktivitäten ein – Akteure agieren weiter

Publiziert am 21. Mai 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Vor wenigen Stunden scheint die Conti-Ransomware-Gang offiziell ihre Auflösungen und die Einstellungen aller Aktivitäten bekannt gegeben zu haben. Die Fragen, die bleiben: Wie lange hält das an? Gibt es ein plötzliches Comeback? Und schlagen die an der Conti-Gang beteiligten Akteure in eigener Regie zu oder schließen sich anderen Ransomware-Gruppen an?

Anzeige

Die Conti Ransomware-Gang

Die Aktivitäten der Conti Ransomware-Gang wurden seit 2020 beobachtet, wobei Sicherheitsspezialisten deren Mitglieder in Russland verorten. Die von der Gang eingesetzte Schadsoftware zielt auf Windows-Systeme und verwendet eine eigene AES-256-Implementierung zur Verschlüsselung von Dateien auf den Opfersystemen.

Die Bande, die hinter Conti steckt, betreibt seit 2020 eine Website, von der aus sie bei Ransomware-Infektionen abgezogene Dokumente veröffentlichen kann. Dieselbe Bande hat auch die Ransomware Ryuk unter dem Namen Wizard Spider verbreitet und hatte ihren Sitz in Sankt Petersburg, Russland. Die Cyberangriffe auf Nordex und die Windkraft AG (Cyberangriffe auf Nordex und die Windkraft AG) sowie auf die VW-Gruppe (siehe Conti Ransomware-Gang will VW-Gruppe gehackt haben) werden Conti zugeschrieben.

Im November 2021 kam es zum Knatsch innerhalb der Gruppe und jemand veröffentlichte Informationen über die Interna der Grupps sowie deren Zahlungsstrukturen (siehe Strukturen der Conti-Ransomware-Gruppe enttarnt – Payment-Infrastruktur offline). In Folge wurden auch mehr als 60.000 Chat-Aufzeichnungen von Conti-Mitgliedern öffentlich (siehe Mehr als 60.000 Chats der Conti-Ransomware-Gang geleakt).

Auflösung der Conti-Gang

Die obige Entwicklung legte nahe, dass die Gruppe in Auflösung befindlich ist, auch wenn die letzte große Aktion ein Ransomware-Angriff auf Costa Rica und dessen Regierung war. Ich bin über den folgenden Tweet der Kollegen von Bleeping Computer auf die Information gestoßen, dass die Gruppe sich offiziell auflöst. Diese stammt von Yelisey Bogusalvskiy & Vitali Kremez von ADV Intel, die das Ganze im Beitrag DisCONTInued: The End of Conti's Brand Marks New Chapter For Cybercrime Landscape veröffentlicht haben.

Anzeige

Conti ransomware group shuts down operation

Der Angriff auf Costa Rica sollte wohl eine Demonstration der Tools der Gruppe sein. Am 19. Mai 2022 wurde die Verwaltungsseite der Conti-Ransomware-Webseite, Conti News, abgeschaltet. Auch die Webseite für Verhandlungen über Lösegeldzahlungen ist nicht mehr erreichbar. Auch der Rest der Infrastruktur – von Chatrooms bis zu Messengern und von Servern bis zu Proxy-Hosts – wurde zurückgesetzt.

Das ist wohl keine spontane Entscheidung, sondern ein kalkulierter Schritt, für den es seit Ende April Anzeichen gab, schreiben die Sicherheitsforscher. Bereits am 6. Mai schrieb AdvIntel, dass die Marke "Conti", und nicht die Organisation selbst, vor der endgültigen Schließung stehe. Mit dem 19. Mai 2022 bestätigte die von den Sicherheitsforschern genutzte exklusive Quelle, dass die Gang ihre Operation einstellt. Diese Abschaltung spiegelt die Erkenntnis wieder, die für die Conti-Führung seit dem Frühjahr 2022 offensichtlich ist: Die Gruppe konnten Erpressungen nicht mehr ausreichend unterstützen und durchführen. Der wichtigste und einzig gültige Zweck des Blogs bestand darin, erbeutete Datensätze neu zu veröffentlichen. Das wurde nun ebenfalls eingestellt.

In ihrer Analyse gehen die Sicherheitsforscher auf weitere Details zur Conti-Ransomware-Gang ein. Während es die Marke "Conti" so nicht mehr gibt, gehen die Operationen weiter. Gegenüber Bleeping Computer erklärte Boguslavskiy von ADV Intel, dass die Führungsleute der Conti-Gang sich mit anderen kleineren Ransomware-Banden zusammengetan hat, um Angriffe durchzuführen. Dieser Artikel von ADV Intel geht auf diese Entwicklung ein.

Durch diese Partnerschaft erhalten diese Ransomware-Gangs einen Zustrom von erfahrenen Conti-Pentestern, Verhandlungsführern und Operatoren. Das Conti-Cybercrime-Syndikat gewinnt an Flexibilität und kann sich den Strafverfolgungsbehörden besser entziehen, indem es sich in kleinere "Zellen" aufteilt, die alle von der zentralen Führung geleitet werden. Das Thema ist daher nicht vom Tisch, sondern taucht wie bei einer Hydra mit neuen Köpfen auf.

Ähnliche Artikel
Cyberangriffe auf Nordex und die Windkraft AG
Conti Ransomware-Gang will VW-Gruppe gehackt haben
Konica Minolta: Marketing-Bereich im März 2022 Opfer der Conti Ransomware
Mehr als 60.000 Chats der Conti-Ransomware-Gang geleakt
Strukturen der Conti-Ransomware-Gruppe enttarnt – Payment-Infrastruktur offline

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.