{"id":259587,"date":"2021-11-19T03:09:57","date_gmt":"2021-11-19T02:09:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259587"},"modified":"2023-02-28T10:38:34","modified_gmt":"2023-02-28T09:38:34","slug":"strukturen-der-conti-ransomware-gruppe-enttarnt-payment-infrastruktur-offline","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/19\/strukturen-der-conti-ransomware-gruppe-enttarnt-payment-infrastruktur-offline\/","title":{"rendered":"Strukturen der Conti-Ransomware-Gruppe enttarnt – Payment-Infrastruktur offline"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Das Team von PRODAFT Threat Intelligence (PTI) hat einen neuen Bericht \u00fcber die internen Strukturen und Innenleben der Conti-Ransomware-Gruppe ver\u00f6ffentlicht. Die geh\u00f6ren aktuell zu den gef\u00e4hrlichsten Ransomware-Kriminellen. Jetzt soll die Infrastruktur, \u00fcber die die Ransomware-Gruppe ihre L\u00f6segeldzahlungen erh\u00e4lt, offline und abgeschaltet sein.<\/p>\n

<\/p>\n

Die Conti Ramsomware und Gruppe<\/h2>\n

\"\"Die Gruppe hinter der Conti-Ransomware gilt als Nachfolger der Ryuk-Gang, zielt mit ihrer Schadsoftware auf Windows-Systeme und ist recht erfolgreich. Sobald es gelungen ist, ein System zu infizieren, versucht die Volumenschattenkopien (Volume Shadow Copies) zu l\u00f6schen. Danach probiert der Sch\u00e4dling eine Reihe von Diensten mithilfe des Restart Managers zu beenden. Dies soll sicherzustellen, dass die von den Diensten verwendeten Dateien verschl\u00fcsselt werden k\u00f6nnen. Die Conti-Ransomware deaktiviert anschlie\u00dfend die Echtzeit\u00fcberwachung und versucht den Windows Defender zu deinstallieren.<\/p>\n

Standardm\u00e4\u00dfig werden alle Dateien auf lokalen und vernetzten Server Message Block-Laufwerken verschl\u00fcsselt, wobei Dateien mit DLL-, .exe-, .sys- und .lnk-Erweiterungen ignoriert werden. Die Software verwendet eine eigene AES-256-Implementierung, die bis zu 32 einzelne logische Threads verwendet und damit viel schneller ist als die meisten Ransomware-Programme. Die Malware kann auch auf bestimmte Laufwerke und einzelne IP-Adressen abzielen.<\/p>\n

Operationen der Gruppe sind seit 2020 bekannt. Die Gruppe, die hinter Conti steckt, betreibt seit 2020 eine Website, von der aus sie Dokumente, die von der Ransomware von Opfersystemen kopiert wurden, ver\u00f6ffentlichen kann. \u00dcber diese Schiene versuchen die Cyber-Kriminellen die Opfer zus\u00e4tzlich zu erpressen.<\/p>\n

Im Mai 2021 gab das FBI eine Warnung heraus, wonach die Ransomware-Gruppe Conti, die k\u00fcrzlich das irische Gesundheitssystem lahmgelegt hatte, im Jahr zuvor auch mindestens 16 Netzwerke des Gesundheitswesens und von First-Responder-Diensten in den USA angegriffen hatte (siehe auch Gesundheitswesens: Einrichtungen Hauptziel von Ransomware-Angriffen<\/a>).<\/p>\n

Anfang Oktober 2021 wurde die Drohung der Conti-Gang bekannt (siehe z.B. bei heise<\/a>), dass Daten von Opfern sofort ver\u00f6ffentlicht w\u00fcrden, wenn etwas von der Erpressung an die \u00d6ffentlichkeit gelangt. Im Fall des japanischen Elektronikkonzerns JVCKenwood waren Screenshots der Ransomware bekannt geworden – wodurch die Kriminellen die Verhandlungen abbrachen und die erbeuteten Dokumente ver\u00f6ffentlichen.<\/p>\n

Laut diesem aktuellen Bericht<\/a> hat die Conti-Gang seit Juli 2021 bereits mindestens 25,5 Millionen US-Dollar von Opfern erpresst. Der Verbreitungsweg ist laut Wikipedia<\/a> immer noch nicht ganz klar. Die US CISA gibt hier<\/a> aber einige Methoden (Spear Phishing, Word-Anh\u00e4nge, RDP-Zug\u00e4nge) zur Verbreitung an. Und in diesem Artikel<\/a> von LogPoint finden sich Hinweise auf die Erkennung einer Conti-Infektion.<\/p>\n

Erst Leaks, nun Details \u00f6ffentlich<\/h2>\n

Anfang August 2021 gab ein mutma\u00dflich unzufriedenes Mitglied der Conti-Gang wohl interne Dokumente an ein russisches Untergrundforum weiter, so dass Ermittler erste Hinweise auf die Arbeitsweise und die Infrastruktur erhielten (siehe den Bericht<\/a> der S\u00fcddeutsche Zeitung). Nun lese ich gerade auf Twitter<\/a>, dass das PRODAFT Threat Intelligence (PTI) einen Bericht \u00fcber die Conti-Gruppe ver\u00f6ffentlicht<\/a> habe.<\/p>\n

\"Report<\/a><\/p>\n

Der 37 Seiten umfassende Bericht (PDF)-Datei l\u00e4sst sich von der betreffenden Webseite herunterladen. Es wird zwar nach einer E-Mail-Adresse gefragt, aber man kann das Popup schlie\u00dfen.<\/p>\n

Ausgangspunkt f\u00fcr diesen Bericht war, dass das PTI-Team einen einen Anstieg der Conti-Angriffe bemerkte und daher im September 2021 mit der Analyse der Gruppe begann. Das Team entdeckte eine Schwachstelle in den Wiederherstellungsservern, die Conti verwendet, und nutzte diese Schwachstelle, um um die echten IP-Adressen des versteckten Dienstes, der die Wiederherstellungs-Website der Gruppe hostet, zu entdecken.<\/p>\n

Das PRODAFT Threat Intelligence (PTI)-Team hat dadurch wertvolle Einblicke in die Innenleben der Ransomware-Gruppe Conti gewonnen. Der Bericht
\nliefert beispiellose Details \u00fcber die Arbeitsweise der Conti-Ransomware-Bande, wie sie wie sie ihre Ziele ausw\u00e4hlen, wie viele Ziele sie angegriffen haben und vieles mehr. So geben Affiliates der Gruppe bei erfolgreichen Angriffen 10-30 % der L\u00f6segelder als Kommission an die Halter der Ransomware as a Service (RaaS) Infrastruktur ab.<\/p>\n

Bei der Analyse entdeckte das PTI-Team mehrere Chat-Sitzungen der Opfer und konnte die Anmeldedaten f\u00fcr MEGA-Konten, die bei der Erpressung der Daten der Opfer verwendet wurden, abgreifen. Das Team hat die verbindenden IP-Adressen, Daten, die Kaufmethode und die Software, die f\u00fcr den Zugriff auf den File-Sharing- und Upload-Dienst verwendet wurde, feststellen k\u00f6nnen.<\/p>\n

Au\u00dferdem gilt: Die Conti-Gang w\u00fcrde nicht auf Windows setzen. Das PTI-Team war in der Lage, die Details des Betriebssystems des Servers zu ermitteln
\nder den versteckten TOR-Dienst f\u00fcr Conti hostet. Der Host ist ein Debian-Server mit dem Hostnamen \"dedic-cuprum-617836\". Die Analysten glauben, dass der numerische Wert am Ende des Hostnamens eine Rechnungsnummer f\u00fcr den Server, die von der Hosting-Firma ITLDC vergeben wurde.<\/p>\n

Ich habe den Bericht mal \u00fcberflogen, es ist erstaunlich, was alles an Details enthalten ist. Alles legen die Analysten im PRODAFT Threat Intelligence (PTI) einen Bericht nicht offen. Eine Reihe Informationen stehen wohl in einem vertraulichen Bericht, der an Strafverfolger weitergeleitet wurde. An dieser Stelle wird es jetzt interessant. Sicherheitsforscher Kevin Beaumont verweist auf den gerade ver\u00f6ffentlichten Bericht von PTI und schreibt, dass die Infrastruktur, die die Conti-Gang f\u00fcr die Zahlungsabwicklung verwendet, abgeschaltet wurde. Ob da die Strafverfolger aktiv waren? Wird man sicher in den kommenden Stunden und Tagen erfahren.<\/p>\n

\u00c4hnliche Artikel.<\/strong>
\nConti Ransomware-Gang will VW-Gruppe gehackt haben<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das Team von PRODAFT Threat Intelligence (PTI) hat einen neuen Bericht \u00fcber die internen Strukturen und Innenleben der Conti-Ransomware-Gruppe ver\u00f6ffentlicht. Die geh\u00f6ren aktuell zu den gef\u00e4hrlichsten Ransomware-Kriminellen. Jetzt soll die Infrastruktur, \u00fcber die die Ransomware-Gruppe ihre L\u00f6segeldzahlungen erh\u00e4lt, offline und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-259587","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259587","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259587"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259587\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259587"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259587"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259587"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}