Thought Leadership
Conti ist eine Ransomware-as-a-Service (RaaS), die seit ihrem Aufkommen im Dezember 2019 zunehmend erfolgreich ist und mittlerweile sogar RaaS wie Ryuk ersetzt.
Die US-amerikanische Bundesbehörde CISA und das FBI gaben im September 2021 eine Warnung vor Conti heraus und gaben an, dass die Betreiber dieser bis zu diesem Zeitpunkt für mehr als 400 Cyberangriffe weltweit verantwortlich waren, hauptsächlich in Nordamerika und Europa.
Die häufigsten Infektionsvektoren sind Spear-Phishing und RDP-Dienste (Remote Desktop Protocol). Phishing-E-Mails funktionieren entweder über bösartige Anhänge wie Word-Dokumente mit einem eingebetteten Makro, das zum Ablegen/Herunterladen von BazarLoader-, Trickbot- und IceID-Trojanern verwendet werden kann, oder über Social-Engineering-Taktiken, mit denen das Opfer dazu gebracht wird, zusätzliche Informationen oder Zugangsdaten anzugeben. Nach dem ersten Zugriff laden die Angreifer eine Cobalt Strike Beacon-DLL herunter und führen sie aus, um Informationen über Domain-Administratorkonten zu sammeln. Außerdem versuchen die Angreifer mit Kerberos-Angriffen, Admin-Hashs zu erhalten, um Brute-Force-Angriffe durchzuführen.
Ein Mitglied der Gruppierung hinter Conti hat kürzlich das sogenannte „Conti-Playbook“ veröffentlicht. Das Playbook schildert ausführlich, wie Conti-Akteure Schwachstellen in ungepatchten Assets ausnutzen, um ihre Privilegien zu erweitern und sich lateral im Netzwerk des Opfers zu bewegen. Sie suchen nach der „PrintNightmare“-Schwachstelle (CVE-2021-34527) im Windows-Druckerspooler-Service, der EternalBlue-Schwachstelle (CVE-2017-0144) im Microsoft Windows Server Message Block und der „Zerologon“-Schwachstelle (CVE-2020-1472) im Microsoft Active Directory Domain Controller. Das Playbook wurde von Sicherheitsforschern aus dem Russischen ins Englische übersetzt und enthält weitere nützliche Indikatoren für Sicherheitslücken (Indicators of Compromise, IoC).
Conti-Akteure verwenden auch das RouterScan-Tool, um Router-Geräte in einem vorgegebenen IP-Bereich zu identifizieren und versuchen, Logins/Passwörter aus einer mit dem RouterScan-Tool verfügbaren Standardliste zu finden. Anschließend installieren sie AnyDesk oder Atera auf dem Zielcomputer, um einen offenen Kommunikationskanal aufrechtzuerhalten. Wie bei anderen Ransomware-Angriffen exfiltrieren die Conti-Akteure Daten aus den Netzwerken der Opfer auf Cloud-Speicherdienste wie MEGA und setzen dann die Conti-Ransomware ein. Zum Hochladen von Daten auf Cloud-Speicher verwendet Conti die Open-Source-Befehlszeilensoftware Rclone. Die Akteure verwenden einen doppelten Erpressungsansatz, bei dem sie ein Lösegeld für die Freigabe der verschlüsselten Daten verlangen oder damit drohen, sie öffentlich freizugeben, wenn das Lösegeld nicht gezahlt wird. Möglicherweise verkaufen sie die Daten auch an den Meistbietenden.
Vor kurzem fielen die Systeme des Touristik-Anbieters FTI einem Ransomware-Angriff der Conti-Gruppe zum Opfer. FTI zufolge sei es zeitweise zu Ausfällen bei Buchungen gekommen, zudem zu Störungen der IT-Infrastruktur und des Kommunikationsbereichs. Die Probleme seien bereits am Abend des Angriffs wieder behoben worden, dem Anbieter zufolge habe sich der verursachte Schaden demnach in Grenzen gehalten.
Der Angriff blieb jedoch nicht folgenlos. Die Ransomware-Gruppe veröffentlichte bei ihrem Angriff gesammelte Daten im Darknet. Das Datenpaket enthält Fotos von rund 250 Reise- und Ausweisdokumenten. Unter den veröffentlichten Daten befinden sich mutmaßlich zudem finanzielle Informationen der FTI Group. Die FTI Group erzielt einen Umsatz von 4,1 Milliarden Euro in sechs Quellmärkten, darunter Deutschland, Österreich und die Schweiz, mit jährlich acht Millionen Kunden. Die persönlichen Daten, die Kunden bei Onlinebuchungen hinterlegen, stehen schnell im Fokus von Erpressern. Diese können einen enormen Druck auf Unternehmen wie Conti ausüben, da es sich bei den erbeuteten Daten nicht nur unternehmenseigene Daten, sondern zudem persönliche Daten von Kunden handelt. Gelängen die veröffentlichten Ausweisdokumente in die falschen Hände, dann hätte dies weitreichende Folgen für die Betroffenen.
Sobald kriminelle Akteure Zugriff auf das Unternehmensnetzwerk erlangt haben, ist der dadurch entstandene Schaden in den meisten Fällen irreversibel, wenn die Hacker bereits Daten zur Erpressung gesammelt haben. Unternehmen setzen zum Schutz vor Angriffen durch Ransomware am besten auf einen präventiven Ansatz in Verbindung mit entsprechender Cyberhygiene. Anbieter wie Qualys bieten hierfür eine automatisierte Lösung, mit der Netzwerkkonfigurationen, Backups, Anwendungszugriff und Patches auf dem neuesten Stand gehalten werden. Nur dann, wenn gute Cyberhygienepraktiken verfolgt und sämtliche Assets im Unternehmensnetzwerk kontinuierlich in Echtzeit überwacht und verwaltet werden, können diese vor Angriffen von außen geschützt werden, um Datendiebstähle zu verhindern.
