[English]Das Team von PRODAFT Threat Intelligence (PTI) hat einen neuen Bericht über die internen Strukturen und Innenleben der Conti-Ransomware-Gruppe veröffentlicht. Die gehören aktuell zu den gefährlichsten Ransomware-Kriminellen. Jetzt soll die Infrastruktur, über die die Ransomware-Gruppe ihre Lösegeldzahlungen erhält, offline und abgeschaltet sein.
Anzeige
Die Conti Ramsomware und Gruppe
Die Gruppe hinter der Conti-Ransomware gilt als Nachfolger der Ryuk-Gang, zielt mit ihrer Schadsoftware auf Windows-Systeme und ist recht erfolgreich. Sobald es gelungen ist, ein System zu infizieren, versucht die Volumenschattenkopien (Volume Shadow Copies) zu löschen. Danach probiert der Schädling eine Reihe von Diensten mithilfe des Restart Managers zu beenden. Dies soll sicherzustellen, dass die von den Diensten verwendeten Dateien verschlüsselt werden können. Die Conti-Ransomware deaktiviert anschließend die Echtzeitüberwachung und versucht den Windows Defender zu deinstallieren.
Standardmäßig werden alle Dateien auf lokalen und vernetzten Server Message Block-Laufwerken verschlüsselt, wobei Dateien mit DLL-, .exe-, .sys- und .lnk-Erweiterungen ignoriert werden. Die Software verwendet eine eigene AES-256-Implementierung, die bis zu 32 einzelne logische Threads verwendet und damit viel schneller ist als die meisten Ransomware-Programme. Die Malware kann auch auf bestimmte Laufwerke und einzelne IP-Adressen abzielen.
Operationen der Gruppe sind seit 2020 bekannt. Die Gruppe, die hinter Conti steckt, betreibt seit 2020 eine Website, von der aus sie Dokumente, die von der Ransomware von Opfersystemen kopiert wurden, veröffentlichen kann. Über diese Schiene versuchen die Cyber-Kriminellen die Opfer zusätzlich zu erpressen.
Im Mai 2021 gab das FBI eine Warnung heraus, wonach die Ransomware-Gruppe Conti, die kürzlich das irische Gesundheitssystem lahmgelegt hatte, im Jahr zuvor auch mindestens 16 Netzwerke des Gesundheitswesens und von First-Responder-Diensten in den USA angegriffen hatte (siehe auch Gesundheitswesens: Einrichtungen Hauptziel von Ransomware-Angriffen).
Anzeige
Anfang Oktober 2021 wurde die Drohung der Conti-Gang bekannt (siehe z.B. bei heise), dass Daten von Opfern sofort veröffentlicht würden, wenn etwas von der Erpressung an die Öffentlichkeit gelangt. Im Fall des japanischen Elektronikkonzerns JVCKenwood waren Screenshots der Ransomware bekannt geworden – wodurch die Kriminellen die Verhandlungen abbrachen und die erbeuteten Dokumente veröffentlichen.
Laut diesem aktuellen Bericht hat die Conti-Gang seit Juli 2021 bereits mindestens 25,5 Millionen US-Dollar von Opfern erpresst. Der Verbreitungsweg ist laut Wikipedia immer noch nicht ganz klar. Die US CISA gibt hier aber einige Methoden (Spear Phishing, Word-Anhänge, RDP-Zugänge) zur Verbreitung an. Und in diesem Artikel von LogPoint finden sich Hinweise auf die Erkennung einer Conti-Infektion.
Erst Leaks, nun Details öffentlich
Anfang August 2021 gab ein mutmaßlich unzufriedenes Mitglied der Conti-Gang wohl interne Dokumente an ein russisches Untergrundforum weiter, so dass Ermittler erste Hinweise auf die Arbeitsweise und die Infrastruktur erhielten (siehe den Bericht der Süddeutsche Zeitung). Nun lese ich gerade auf Twitter, dass das PRODAFT Threat Intelligence (PTI) einen Bericht über die Conti-Gruppe veröffentlicht habe.
Der 37 Seiten umfassende Bericht (PDF)-Datei lässt sich von der betreffenden Webseite herunterladen. Es wird zwar nach einer E-Mail-Adresse gefragt, aber man kann das Popup schließen.
Ausgangspunkt für diesen Bericht war, dass das PTI-Team einen einen Anstieg der Conti-Angriffe bemerkte und daher im September 2021 mit der Analyse der Gruppe begann. Das Team entdeckte eine Schwachstelle in den Wiederherstellungsservern, die Conti verwendet, und nutzte diese Schwachstelle, um um die echten IP-Adressen des versteckten Dienstes, der die Wiederherstellungs-Website der Gruppe hostet, zu entdecken.
Das PRODAFT Threat Intelligence (PTI)-Team hat dadurch wertvolle Einblicke in die Innenleben der Ransomware-Gruppe Conti gewonnen. Der Bericht
liefert beispiellose Details über die Arbeitsweise der Conti-Ransomware-Bande, wie sie wie sie ihre Ziele auswählen, wie viele Ziele sie angegriffen haben und vieles mehr. So geben Affiliates der Gruppe bei erfolgreichen Angriffen 10-30 % der Lösegelder als Kommission an die Halter der Ransomware as a Service (RaaS) Infrastruktur ab.
Bei der Analyse entdeckte das PTI-Team mehrere Chat-Sitzungen der Opfer und konnte die Anmeldedaten für MEGA-Konten, die bei der Erpressung der Daten der Opfer verwendet wurden, abgreifen. Das Team hat die verbindenden IP-Adressen, Daten, die Kaufmethode und die Software, die für den Zugriff auf den File-Sharing- und Upload-Dienst verwendet wurde, feststellen können.
Außerdem gilt: Die Conti-Gang würde nicht auf Windows setzen. Das PTI-Team war in der Lage, die Details des Betriebssystems des Servers zu ermitteln
der den versteckten TOR-Dienst für Conti hostet. Der Host ist ein Debian-Server mit dem Hostnamen "dedic-cuprum-617836". Die Analysten glauben, dass der numerische Wert am Ende des Hostnamens eine Rechnungsnummer für den Server, die von der Hosting-Firma ITLDC vergeben wurde.
Ich habe den Bericht mal überflogen, es ist erstaunlich, was alles an Details enthalten ist. Alles legen die Analysten im PRODAFT Threat Intelligence (PTI) einen Bericht nicht offen. Eine Reihe Informationen stehen wohl in einem vertraulichen Bericht, der an Strafverfolger weitergeleitet wurde. An dieser Stelle wird es jetzt interessant. Sicherheitsforscher Kevin Beaumont verweist auf den gerade veröffentlichten Bericht von PTI und schreibt, dass die Infrastruktur, die die Conti-Gang für die Zahlungsabwicklung verwendet, abgeschaltet wurde. Ob da die Strafverfolger aktiv waren? Wird man sicher in den kommenden Stunden und Tagen erfahren.
Ähnliche Artikel.
Conti Ransomware-Gang will VW-Gruppe gehackt haben
Anzeige