Nachricht schreiben

Sie haben keinen Betreff angegeben, möchten Sie die Nachricht ohne Betreff versenden?
Bitte beachten Sie, dass Ihre Nachricht maximal 1000 Zeichen lang sein darf

Ihre Nachricht wurde gesendet

Sie finden die Nachricht jetzt in Ihrem persönlichen Bereich unter „Meine Nachrichten“.

Es ist ein Fehler aufgetreten

Bitte versuchen Sie es nochmal.

Termin vereinbaren

Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.

Symbolbild: Blaulicht © istockphoto.com/Jaroslav Noska
  • Branchennews
  • Management, Awareness und Compliance

Conti-Group: Dank Millionenerträgen im Visier der Ermittler

Auch in Ransomware-Gangs wird schlampig gearbeitet. Zusätzlich ruinieren Ermittler mit ausgefeilten Methoden das Geschäft. Dazu liefern im Zuge des Ukraine-Konflikts geleakte Chat-Protokolle interessante Details.

Die unfreiwillig offengelegte interne Kommunikation einer Cybercrime-Gang deckt organisatorische und technische Defizite auf. Für Strafverfolgungsbehörden könnte das sehr nützlich sein.

Ausgerechnet eine russische Hacker-Gruppe erfuhr unlängst, was es heißt, Opfer von Cyberspionage zu sein. Die vom FBI 2021 als eine der drei gefährlichsten Cybercrime-Gangs eingestufte Conti-Gruppe geriet kurz nach Beginn des Ukraine-Konflikts in die Schlagzeilen. Durch ein Leak wurden etliche Gigabyte Chat-Protokolle und Dokumente publik.

Die Conti-Gruppe setzt auf Ransomware (Angebote zum Schutz vor Ransomware auf it-sa 365) und konzentriert sich dabei auf große Fische: Es werden vorrangig finanzstarke Konzerne angegriffen, bei denen die Lösegeldforderungen im Millionenbereich liegen. Mehr als 1000 Organisationen sollen bisher erfolgreich attackiert worden sein, die erbeuteten Summen belaufen sich auf Hunderte Millionen US-Dollar. 

 

Unbezahlte Rechnungen und geleakte Bitcoin-Adressen 

Die Conti-Kriminellen arbeiten damit sehr erfolgreich, obwohl sie mit selbst verschuldeten Problemen zu kämpfen haben. Aus den Chat-Protokollen geht hervor, dass sie beispielsweise durch eigene Versäumnisse immer wieder zahlreiche infizierte Systeme, sogenannte Bots, verliert. Dies, weil regelmäßig Rechnungen übersehen und dadurch nicht bezahlt werden. Dabei geht es um virtuelle Server, Domainregistrierungen, VPN-Zugänge und ähnliche Cloud-Ressourcen. Da die Bots in der Regel über eigens dafür reservierte Domainnamen mit den steuernden Servern in Verbindung treten, gehen bei Verlust solcher Domains schnell ein paar Tausend Bots verloren. Mitarbeiter bitten daher regelmäßig um Aufstockung der für die Zahlungen verwendeten Bitcoin-Konten. Doch das geschieht häufig zu spät oder gar nicht. Den Führungskräften ist diese Problematik durchaus bewusst. Ein Manager schrieb dazu dem unter dem Decknamen „Stern“ agierenden Chef der Conti-Gruppe: „Wir haben alle Möglichkeiten und beste Bedingungen, wir müssen nur professioneller werden“. Die in diesem Zusammenhang bekannt gewordenen Bitcoin-Adressen dürften nach Meinung von Experten für Strafverfolgungsbehörden sehr nützlich sein, etwa um die Gewinne der Gruppe zu verfolgen.

 

NSA streut Sand ins Getriebe

Längst steht die Gruppe im Fokus von Ermittlungsbehörden und diese machen der Gruppe immer wieder das Leben schwer. Während die Behörden mit Details zu ihren Operationen gewöhnlich sehr zurückhaltend umgehen, zeigen die Chat-Logs, was sie mit geschickten Maßnahmen erreichen konnten. Demnach ist es FBI und NSA schon vor einiger Zeit gelungen, die Gruppe zu infiltrieren oder Zugang zu deren Systemen zu erlangen, wie Manager der Gruppe beklagen. Bereits 2020 erreichte die NSA Kontrolle über das auch von Conti verwendete Trickbot-Botnet. Nach ausgiebiger Analyse des Netzes haben NSA-Spezialisten schließlich allen Bots den Befehl geschickt, sich vom Botnet abzumelden. Zuvor wurden die Datenbanken des Botnetzes, in denen Daten von Opfern gespeichert wurden, mit Unmengen gefälschter Daten zugemüllt. Zu den weiteren Maßnahmen gehörte auch die geschickte Verschlüsselung von wichtigen Konfigurationsdateien. Gleichzeitig wurden neue Konfigurationsdateien angelegt, die dazu führten, dass die Bots im Leerlauf arbeiten und somit keinen Schaden anrichten können. Um zu verhindern, dass diese Konfigurationen geändert werden, wurden sie mit der höchstmöglichen Versionsnummer versehen, wodurch die Bestückung mit neuen Konfigurationen unmöglich wurde, weil es keine gültige Versionsnummer mehr geben konnte. Bis das Botnet nach solchen Maßnahmen wieder aktionsfähig wurde, vergingen Wochen, denn es mussten erst neue Windows-Systeme infiziert und in Bots verwandelt werden. Dazu gibt die Gruppe Pishing-Kampagnen bei Anbietern im Untergrund in Auftrag. Das verdeutlicht, wie arbeitsteilig die Gruppen arbeiten, nur ein Teil der Operationen selbst durchführen und sich Cybercrime-as-a-Service bedienen.

Das Geschäft mit Sicherheitsproblemen sowie die eigene exponierte Bedrohungslage führt dazu, dass Conti-Manager strikt auf umfangreiche Sicherheitsmaßnahmen achten. Das Budget für Sicherheits-Software beläuft sich auf mehrere Tausend Dollar pro Monat. Beispielsweise muss auf jedem Admin-Rechner ein Tool für Endpoint Detection and Response (EDR) installiert sein. Das dient allerdings explizit auch der Überwachung der Mitarbeiter, wie ein Conti-Manager in den Chats schreibt.

Details zu internen Strukturen der Conti-Gruppe beschreibt der Beitrag „Conti-Leaks enthüllt: Cybercrime Einstiegsgehalt bei 2.000 US-Dollar“.
.
Eine der ausführlichsten Analysen der Conti-Chats findet sich bei dem Sicherheitsexperten Brian Krebs.

Autor: Uwe Sievers