365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Die unfreiwillig offengelegte interne Kommunikation einer Cybercrime-Gang deckt organisatorische und technische Defizite auf. Für Strafverfolgungsbehörden könnte das sehr nützlich sein.
Ausgerechnet eine russische Hacker-Gruppe erfuhr unlängst, was es heißt, Opfer von Cyberspionage zu sein. Die vom FBI 2021 als eine der drei gefährlichsten Cybercrime-Gangs eingestufte Conti-Gruppe geriet kurz nach Beginn des Ukraine-Konflikts in die Schlagzeilen. Durch ein Leak wurden etliche Gigabyte Chat-Protokolle und Dokumente publik.
Die Conti-Gruppe setzt auf Ransomware (Angebote zum Schutz vor Ransomware auf it-sa 365) und konzentriert sich dabei auf große Fische: Es werden vorrangig finanzstarke Konzerne angegriffen, bei denen die Lösegeldforderungen im Millionenbereich liegen. Mehr als 1000 Organisationen sollen bisher erfolgreich attackiert worden sein, die erbeuteten Summen belaufen sich auf Hunderte Millionen US-Dollar.
Die Conti-Kriminellen arbeiten damit sehr erfolgreich, obwohl sie mit selbst verschuldeten Problemen zu kämpfen haben. Aus den Chat-Protokollen geht hervor, dass sie beispielsweise durch eigene Versäumnisse immer wieder zahlreiche infizierte Systeme, sogenannte Bots, verliert. Dies, weil regelmäßig Rechnungen übersehen und dadurch nicht bezahlt werden. Dabei geht es um virtuelle Server, Domainregistrierungen, VPN-Zugänge und ähnliche Cloud-Ressourcen. Da die Bots in der Regel über eigens dafür reservierte Domainnamen mit den steuernden Servern in Verbindung treten, gehen bei Verlust solcher Domains schnell ein paar Tausend Bots verloren. Mitarbeiter bitten daher regelmäßig um Aufstockung der für die Zahlungen verwendeten Bitcoin-Konten. Doch das geschieht häufig zu spät oder gar nicht. Den Führungskräften ist diese Problematik durchaus bewusst. Ein Manager schrieb dazu dem unter dem Decknamen „Stern“ agierenden Chef der Conti-Gruppe: „Wir haben alle Möglichkeiten und beste Bedingungen, wir müssen nur professioneller werden“. Die in diesem Zusammenhang bekannt gewordenen Bitcoin-Adressen dürften nach Meinung von Experten für Strafverfolgungsbehörden sehr nützlich sein, etwa um die Gewinne der Gruppe zu verfolgen.
Längst steht die Gruppe im Fokus von Ermittlungsbehörden und diese machen der Gruppe immer wieder das Leben schwer. Während die Behörden mit Details zu ihren Operationen gewöhnlich sehr zurückhaltend umgehen, zeigen die Chat-Logs, was sie mit geschickten Maßnahmen erreichen konnten. Demnach ist es FBI und NSA schon vor einiger Zeit gelungen, die Gruppe zu infiltrieren oder Zugang zu deren Systemen zu erlangen, wie Manager der Gruppe beklagen. Bereits 2020 erreichte die NSA Kontrolle über das auch von Conti verwendete Trickbot-Botnet. Nach ausgiebiger Analyse des Netzes haben NSA-Spezialisten schließlich allen Bots den Befehl geschickt, sich vom Botnet abzumelden. Zuvor wurden die Datenbanken des Botnetzes, in denen Daten von Opfern gespeichert wurden, mit Unmengen gefälschter Daten zugemüllt. Zu den weiteren Maßnahmen gehörte auch die geschickte Verschlüsselung von wichtigen Konfigurationsdateien. Gleichzeitig wurden neue Konfigurationsdateien angelegt, die dazu führten, dass die Bots im Leerlauf arbeiten und somit keinen Schaden anrichten können. Um zu verhindern, dass diese Konfigurationen geändert werden, wurden sie mit der höchstmöglichen Versionsnummer versehen, wodurch die Bestückung mit neuen Konfigurationen unmöglich wurde, weil es keine gültige Versionsnummer mehr geben konnte. Bis das Botnet nach solchen Maßnahmen wieder aktionsfähig wurde, vergingen Wochen, denn es mussten erst neue Windows-Systeme infiziert und in Bots verwandelt werden. Dazu gibt die Gruppe Pishing-Kampagnen bei Anbietern im Untergrund in Auftrag. Das verdeutlicht, wie arbeitsteilig die Gruppen arbeiten, nur ein Teil der Operationen selbst durchführen und sich Cybercrime-as-a-Service bedienen.
Das Geschäft mit Sicherheitsproblemen sowie die eigene exponierte Bedrohungslage führt dazu, dass Conti-Manager strikt auf umfangreiche Sicherheitsmaßnahmen achten. Das Budget für Sicherheits-Software beläuft sich auf mehrere Tausend Dollar pro Monat. Beispielsweise muss auf jedem Admin-Rechner ein Tool für Endpoint Detection and Response (EDR) installiert sein. Das dient allerdings explizit auch der Überwachung der Mitarbeiter, wie ein Conti-Manager in den Chats schreibt.
Details zu internen Strukturen der Conti-Gruppe beschreibt der Beitrag „Conti-Leaks enthüllt: Cybercrime Einstiegsgehalt bei 2.000 US-Dollar“.
.
Eine der ausführlichsten Analysen der Conti-Chats findet sich bei dem Sicherheitsexperten Brian Krebs.
Autor: Uwe Sievers
