Strukturen der Conti-Ransomware-Gruppe enttarnt – Payment-Infrastruktur offline

Sicherheit (Pexels, allgemeine Nutzung)[English]Das Team von PRODAFT Threat Intelligence (PTI) hat einen neuen Bericht über die internen Strukturen und Innenleben der Conti-Ransomware-Gruppe veröffentlicht. Die gehören aktuell zu den gefährlichsten Ransomware-Kriminellen. Jetzt soll die Infrastruktur, über die die Ransomware-Gruppe ihre Lösegeldzahlungen erhält, offline und abgeschaltet sein.


Anzeige

Die Conti Ramsomware und Gruppe

Die Gruppe hinter der Conti-Ransomware gilt als Nachfolger der Ryuk-Gang, zielt mit ihrer Schadsoftware auf Windows-Systeme und ist recht erfolgreich. Sobald es gelungen ist, ein System zu infizieren, versucht die Volumenschattenkopien (Volume Shadow Copies) zu löschen. Danach probiert der Schädling eine Reihe von Diensten mithilfe des Restart Managers zu beenden. Dies soll sicherzustellen, dass die von den Diensten verwendeten Dateien verschlüsselt werden können. Die Conti-Ransomware deaktiviert anschließend die Echtzeitüberwachung und versucht den Windows Defender zu deinstallieren.

Standardmäßig werden alle Dateien auf lokalen und vernetzten Server Message Block-Laufwerken verschlüsselt, wobei Dateien mit DLL-, .exe-, .sys- und .lnk-Erweiterungen ignoriert werden. Die Software verwendet eine eigene AES-256-Implementierung, die bis zu 32 einzelne logische Threads verwendet und damit viel schneller ist als die meisten Ransomware-Programme. Die Malware kann auch auf bestimmte Laufwerke und einzelne IP-Adressen abzielen.

Operationen der Gruppe sind seit 2020 bekannt. Die Gruppe, die hinter Conti steckt, betreibt seit 2020 eine Website, von der aus sie Dokumente, die von der Ransomware von Opfersystemen kopiert wurden, veröffentlichen kann. Über diese Schiene versuchen die Cyber-Kriminellen die Opfer zusätzlich zu erpressen.

Im Mai 2021 gab das FBI eine Warnung heraus, wonach die Ransomware-Gruppe Conti, die kürzlich das irische Gesundheitssystem lahmgelegt hatte, im Jahr zuvor auch mindestens 16 Netzwerke des Gesundheitswesens und von First-Responder-Diensten in den USA angegriffen hatte (siehe auch Gesundheitswesens: Einrichtungen Hauptziel von Ransomware-Angriffen).


Anzeige

Anfang Oktober 2021 wurde die Drohung der Conti-Gang bekannt (siehe z.B. bei heise), dass Daten von Opfern sofort veröffentlicht würden, wenn etwas von der Erpressung an die Öffentlichkeit gelangt. Im Fall des japanischen Elektronikkonzerns JVCKenwood waren Screenshots der Ransomware bekannt geworden – wodurch die Kriminellen die Verhandlungen abbrachen und die erbeuteten Dokumente veröffentlichen.

Laut diesem aktuellen Bericht hat die Conti-Gang seit Juli 2021 bereits mindestens 25,5 Millionen US-Dollar von Opfern erpresst. Der Verbreitungsweg ist laut Wikipedia immer noch nicht ganz klar. Die US CISA gibt hier aber einige Methoden (Spear Phishing, Word-Anhänge, RDP-Zugänge) zur Verbreitung an. Und in diesem Artikel von LogPoint finden sich Hinweise auf die Erkennung einer Conti-Infektion.

Erst Leaks, nun Details öffentlich

Anfang August 2021 gab ein mutmaßlich unzufriedenes Mitglied der Conti-Gang wohl interne Dokumente an ein russisches Untergrundforum weiter, so dass Ermittler erste Hinweise auf die Arbeitsweise und die Infrastruktur erhielten (siehe den Bericht der Süddeutsche Zeitung). Nun lese ich gerade auf Twitter, dass das PRODAFT Threat Intelligence (PTI) einen Bericht über die Conti-Gruppe veröffentlicht habe.

Report about Conti Ransomware gang

Der 37 Seiten umfassende Bericht (PDF)-Datei lässt sich von der betreffenden Webseite herunterladen. Es wird zwar nach einer E-Mail-Adresse gefragt, aber man kann das Popup schließen.

Ausgangspunkt für diesen Bericht war, dass das PTI-Team einen einen Anstieg der Conti-Angriffe bemerkte und daher im September 2021 mit der Analyse der Gruppe begann. Das Team entdeckte eine Schwachstelle in den Wiederherstellungsservern, die Conti verwendet, und nutzte diese Schwachstelle, um um die echten IP-Adressen des versteckten Dienstes, der die Wiederherstellungs-Website der Gruppe hostet, zu entdecken.

Das PRODAFT Threat Intelligence (PTI)-Team hat dadurch wertvolle Einblicke in die Innenleben der Ransomware-Gruppe Conti gewonnen. Der Bericht
liefert beispiellose Details über die Arbeitsweise der Conti-Ransomware-Bande, wie sie wie sie ihre Ziele auswählen, wie viele Ziele sie angegriffen haben und vieles mehr. So geben Affiliates der Gruppe bei erfolgreichen Angriffen 10-30 % der Lösegelder als Kommission an die Halter der Ransomware as a Service (RaaS) Infrastruktur ab.

Bei der Analyse entdeckte das PTI-Team mehrere Chat-Sitzungen der Opfer und konnte die Anmeldedaten für MEGA-Konten, die bei der Erpressung der Daten der Opfer verwendet wurden, abgreifen. Das Team hat die verbindenden IP-Adressen, Daten, die Kaufmethode und die Software, die für den Zugriff auf den File-Sharing- und Upload-Dienst verwendet wurde, feststellen können.

Außerdem gilt: Die Conti-Gang würde nicht auf Windows setzen. Das PTI-Team war in der Lage, die Details des Betriebssystems des Servers zu ermitteln
der den versteckten TOR-Dienst für Conti hostet. Der Host ist ein Debian-Server mit dem Hostnamen "dedic-cuprum-617836". Die Analysten glauben, dass der numerische Wert am Ende des Hostnamens eine Rechnungsnummer für den Server, die von der Hosting-Firma ITLDC vergeben wurde.

Ich habe den Bericht mal überflogen, es ist erstaunlich, was alles an Details enthalten ist. Alles legen die Analysten im PRODAFT Threat Intelligence (PTI) einen Bericht nicht offen. Eine Reihe Informationen stehen wohl in einem vertraulichen Bericht, der an Strafverfolger weitergeleitet wurde. An dieser Stelle wird es jetzt interessant. Sicherheitsforscher Kevin Beaumont verweist auf den gerade veröffentlichten Bericht von PTI und schreibt, dass die Infrastruktur, die die Conti-Gang für die Zahlungsabwicklung verwendet, abgeschaltet wurde. Ob da die Strafverfolger aktiv waren? Wird man sicher in den kommenden Stunden und Tagen erfahren.

Ähnliche Artikel.
Conti Ransomware-Gang will VW-Gruppe gehackt haben


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.