{"id":265564,"date":"2022-05-21T11:15:08","date_gmt":"2022-05-21T09:15:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265564"},"modified":"2023-03-10T00:21:06","modified_gmt":"2023-03-09T23:21:06","slug":"hydra-effekt-conti-ransomware-gang-stellt-aktivitten-ein-akteure-agieren-weiter","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/21\/hydra-effekt-conti-ransomware-gang-stellt-aktivitten-ein-akteure-agieren-weiter\/","title":{"rendered":"Hydra-Effekt: Conti-Ransomware-Gang stellt Aktivitäten ein – Akteure agieren weiter"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Vor wenigen Stunden scheint die Conti-Ransomware-Gang offiziell ihre Aufl\u00f6sungen und die Einstellungen aller Aktivit\u00e4ten bekannt gegeben zu haben. Die Fragen, die bleiben: Wie lange h\u00e4lt das an? Gibt es ein pl\u00f6tzliches Comeback? Und schlagen die an der Conti-Gang beteiligten Akteure in eigener Regie zu oder schlie\u00dfen sich anderen Ransomware-Gruppen an?<\/p>\n

<\/p>\n

Die Conti Ransomware-Gang<\/h2>\n

\"\"Die Aktivit\u00e4ten der Conti Ransomware-Gang<\/a> wurden seit 2020 beobachtet, wobei Sicherheitsspezialisten deren Mitglieder in Russland verorten. Die von der Gang eingesetzte Schadsoftware zielt auf Windows-Systeme und verwendet eine eigene AES-256-Implementierung zur Verschl\u00fcsselung von Dateien auf den Opfersystemen.<\/p>\n

Die Bande, die hinter Conti steckt, betreibt seit 2020 eine Website, von der aus sie bei Ransomware-Infektionen abgezogene Dokumente ver\u00f6ffentlichen kann. Dieselbe Bande hat auch die Ransomware Ryuk unter dem Namen Wizard Spider verbreitet und hatte ihren Sitz in Sankt Petersburg, Russland. Die Cyberangriffe auf Nordex und die Windkraft AG (Cyberangriffe auf Nordex und die Windkraft AG<\/a>) sowie auf die VW-Gruppe (siehe Conti Ransomware-Gang will VW-Gruppe gehackt haben<\/a>) werden Conti zugeschrieben.<\/p>\n

Im November 2021 kam es zum Knatsch innerhalb der Gruppe und jemand ver\u00f6ffentlichte Informationen \u00fcber die Interna der Grupps sowie deren Zahlungsstrukturen (siehe Strukturen der Conti-Ransomware-Gruppe enttarnt \u2013 Payment-Infrastruktur offline<\/a>). In Folge wurden auch mehr als 60.000 Chat-Aufzeichnungen von Conti-Mitgliedern \u00f6ffentlich (siehe Mehr als 60.000 Chats der Conti-Ransomware-Gang geleakt<\/a>).<\/p>\n

Aufl\u00f6sung der Conti-Gang<\/h2>\n

Die obige Entwicklung legte nahe, dass die Gruppe in Aufl\u00f6sung befindlich ist, auch wenn die letzte gro\u00dfe Aktion ein Ransomware-Angriff auf Costa Rica<\/a> und dessen Regierung war. Ich bin \u00fcber den folgenden Tweet<\/a> der Kollegen von Bleeping Computer auf die Information gesto\u00dfen, dass die Gruppe sich offiziell aufl\u00f6st. Diese stammt von Yelisey Bogusalvskiy & Vitali Kremez<\/em> von ADV Intel, die das Ganze im Beitrag DisCONTInued: The End of Conti's Brand Marks New Chapter For Cybercrime Landscape<\/a> ver\u00f6ffentlicht haben.<\/p>\n

\"Conti<\/a><\/p>\n

Der Angriff auf Costa Rica sollte wohl eine Demonstration der Tools der Gruppe sein. Am 19. Mai 2022 wurde die Verwaltungsseite der Conti-Ransomware-Webseite, Conti News, abgeschaltet. Auch die Webseite f\u00fcr Verhandlungen \u00fcber L\u00f6segeldzahlungen ist nicht mehr erreichbar. Auch der Rest der Infrastruktur – von Chatrooms bis zu Messengern und von Servern bis zu Proxy-Hosts – wurde zur\u00fcckgesetzt.<\/p>\n

Das ist wohl keine spontane Entscheidung, sondern ein kalkulierter Schritt, f\u00fcr den es seit Ende April Anzeichen gab, schreiben die Sicherheitsforscher. Bereits am 6. Mai schrieb AdvIntel, dass die Marke \"Conti\", und nicht die Organisation selbst, vor der endg\u00fcltigen Schlie\u00dfung stehe. Mit dem 19. Mai 2022 best\u00e4tigte die von den Sicherheitsforschern genutzte exklusive Quelle, dass die Gang ihre Operation einstellt. Diese Abschaltung spiegelt die Erkenntnis wieder, die f\u00fcr die Conti-F\u00fchrung seit dem Fr\u00fchjahr 2022 offensichtlich ist: Die Gruppe konnten Erpressungen nicht mehr ausreichend unterst\u00fctzen und durchf\u00fchren. Der wichtigste und einzig g\u00fcltige Zweck des Blogs bestand darin, erbeutete Datens\u00e4tze neu zu ver\u00f6ffentlichen. Das wurde nun ebenfalls eingestellt.<\/p>\n

In ihrer Analyse<\/a> gehen die Sicherheitsforscher auf weitere Details zur Conti-Ransomware-Gang ein. W\u00e4hrend es die Marke \"Conti\" so nicht mehr gibt, gehen die Operationen weiter. Gegen\u00fcber Bleeping Computer<\/a> erkl\u00e4rte Boguslavskiy von ADV Intel, dass die F\u00fchrungsleute der Conti-Gang sich mit anderen kleineren Ransomware-Banden zusammengetan hat, um Angriffe durchzuf\u00fchren. Dieser Artikel<\/a> von ADV Intel geht auf diese Entwicklung ein.<\/p>\n

Durch diese Partnerschaft erhalten diese Ransomware-Gangs einen Zustrom von erfahrenen Conti-Pentestern, Verhandlungsf\u00fchrern und Operatoren. Das Conti-Cybercrime-Syndikat gewinnt an Flexibilit\u00e4t und kann sich den Strafverfolgungsbeh\u00f6rden besser entziehen, indem es sich in kleinere \"Zellen\" aufteilt, die alle von der zentralen F\u00fchrung geleitet werden. Das Thema ist daher nicht vom Tisch, sondern taucht wie bei einer Hydra mit neuen K\u00f6pfen auf.<\/p>\n

\u00c4hnliche Artikel<\/strong>
\nCyberangriffe auf Nordex und die Windkraft AG<\/a>
\nConti Ransomware-Gang will VW-Gruppe gehackt haben<\/a>
\nKonica Minolta: Marketing-Bereich im M\u00e4rz 2022 Opfer der Conti Ransomware<\/a>
\nMehr als 60.000 Chats der Conti-Ransomware-Gang geleakt<\/a>
\nStrukturen der Conti-Ransomware-Gruppe enttarnt \u2013 Payment-Infrastruktur offline<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Vor wenigen Stunden scheint die Conti-Ransomware-Gang offiziell ihre Aufl\u00f6sungen und die Einstellungen aller Aktivit\u00e4ten bekannt gegeben zu haben. Die Fragen, die bleiben: Wie lange h\u00e4lt das an? Gibt es ein pl\u00f6tzliches Comeback? Und schlagen die an der Conti-Gang beteiligten Akteure … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-265564","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265564","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265564"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265564\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265564"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265564"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265564"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}