Aufgrund der Sicherheitslücke in Log4j herrscht weltweit höchste Alarmbereitschaft. Und das nicht ohne Grund: Denn selten haben sich Cyberangriffe vergleichbar gehäuft. Aktuell verbreitet sich vor allem die sogenannte Conti-Ransomware rasend schnell und verursacht großen Schaden.
Was es mit der Conti-Erpressergruppe und ihrer Ransomware auf sich hat und wie Sie sich schützen, erfahren Sie hier.
Unser Beitrag über die Conti-Ransomware im Überblick:
Conti-Ransomware nutzt Sicherheitslücke Log4Shell
Für Cyberkriminelle ist die Schwachstelle in der Java-Bibliothek Log4j (Log4Shell) ein gefundenes Fressen. Die ersten Angriffe wurden unmittelbar nach dem Bekanntwerden der Sicherheitslücke durchgeführt. Heute sind laut Presseinformationen aber auch erste Angriffe von Großkriminellen wie Conti verzeichnet worden, die auf die aktuelle Sicherheitslücke in Log4j abzielen.
Conti ist vor allem für die gleichnamige Ransomware bzw. den Erpressertrojaner Conti bekannt. Die Erpressergruppe führt dabei vor allem Erpressungsangriffe auf Anfrage (Ransomware-as-a-Service) durch. Heute gehört sie dabei zu den gefährlichsten und erfolgreichsten cyberkriminellen Organisationen der Welt. Die derzeitigen Log4j-Angriffe sind dabei nicht die ersten, in denen Conti eine bekannte Sicherheitslücke gekonnt ausnutzt. Die Erpressergruppe war vor einem Jahr in der Presse, weil sie den ProxyShell-Exploit in Exchange-Servern ausnutzten. Damals hatte Conti innerhalb von 48 Stunden rund ein TB Daten herausgeschleust.
Der Conti-Erpressungstrojaner nimmt Ihre Daten als Geisel und gibt sie erst gegen eine Zahlung wieder frei. Bild: Pexels/TimaMiroshnichenko
Was ist die Conti-Ransomware?
Die Conti-Ransomware tauchte im Mai 2020 erstmals auf. Sie gilt als weiterentwickelter Nachfolger der Ryuk-Ransomware, die wahrscheinlich seit dem Jahr 2018 vom russischen Bedrohungsakteur Wizard Spider entwickelt und verbreitet wurde. Während Ryuk jedoch auf klar wirtschaftspolitische Angriffe setzte, ist die Conti-Ransomware vor allem auf Auftragsangriffe spezialisiert.
Nach einem erfolgreich durchgeführten Conti-Ransomware-Angriff erscheint ein Text-Dokument mit dem Namen „CONTI_README.txt“ auf dem Desktop des betroffenen Rechners, in dem sich die Kontaktdaten der Conti-Erpresse sowie eine Information zur Verschlüsselung finden. Meistens sind die persönlichen Daten, Fotos und wichtige Dokumente mit einer unbekannten Hashfunktion verschlüsselt. Die Dateinamen ändern sich im Zuge der Verschlüsselung und an die Dateiendung wird ein .CONTI angehängt. Aus .docx oder .jpg wird beispielsweise .docx.CONTI und jpg.CONTI. Das Öffnen der Dateien ist nicht mehr möglich.
Erfolge der Conti-Ransomware
Die Lösegeldforderungen des Erpressertrojaners reichen bekanntermaßen bis zu 25 Millionen US-Dollar und sind auf die Größe der Opfer zugeschnitten. Und dieses Geschäftsmodell ist erschreckend erfolgreich:
Im ersten Quartal 2021 war nach Errechnungen von Coveware die Conti-Ransomware bereits der zweiterfolgreichste Erpressertrojaner weltweit. Und die Entwicklung hielt an, denn laut Informationen der US-Behörde Financial Crimes Enforcement Network erbeuteten die Conti-Erpresser in der ersten Jahreshälfte 2021 ein Lösegeld von circa zwölf Millionen US-Dollar.
Die weltweit meisten Ransomware-Angriffe wurden im Jahr 2021 von REvil und den Conti-Erpressern durchgeführt. Solche aktuellen Erkenntnisse zeigen, dass sich Cybercrime zunehmend professionalisiert und in den Händen von hochgradig vernetzten Hackergruppen liegt.
Die Conti-Gruppe gehört zu den bekanntesten cyberkriminellen Zusammenschlüssen. Bild: Pexels/MikhailNilov
Was ist die Conti-Gruppe?
Es wird davon ausgegangen, dass es sich bei Mitgliedern von Wizard Spider um die Conti-Kerngruppe handelt. Nicht nur die Entwickler der Conti-Ransomware von Wizard Spider sind Teil der Conti-Gruppe, sondern auch die geprüften Erpresser, die die Schadsoftware auf Mietbasis nutzen. Die Gruppe gilt als hochgradig elitär und professionell.
Das Besondere bei Conti als Ransomware-as-a-Service ist die ausführliche und einfach verständliche Anleitung, die zur Conti-Ransomware mitgeliefert wird. Sie wurde im Sommer 2021 von einem unzufriedenen Conti-Erpresser geleaked. Bestandteil des Leaks waren Informationen über die Ransomware und die Vorgehensweise von Conti. Auch veröffentlichte er ein Archiv mit über 100 MB an Tools und Dokumenten. Darunter befinden sich Skripte, die Antivirenlösungen wie den Windows Defender auf Zielsystemen deaktivieren lassen.
Veröffentlichung von Daten
Die Conti-Gruppe ist dafür bekannt geworden, dass sie ihren Opfern nahelegt, keine Details zu Lösegeld-Verhandlungen zu veröffentlichen. Die erbeuteten Daten ihrer Opfer würden veröffentlicht werden, sollten Screenshots von Verhandlungen an Journalisten oder IT-Spezialisten herangetragen werden. Das machte die Conti-Gruppe auch bereits wahr.
Der japanische Elektronikkonzern JVCKenwood, der Details zur Verhandlung mit Conti veröffentlichte, musste daran glauben. Seine Unternehmensdaten wurden auf der Conti-Leak-Site im Tor-Netzwerk veröffentlicht. Mit einem öffentlichen Statement ging die Conti-Gruppe auf diesen Vorfall ein und gab in Form eines öffentlichen Statements bekannt, dass Handlungen gegen die Gruppe Konsequenzen haben:
Conti ransomware group has sent out a threatening message to journalists. pic.twitter.com/uHzZ3Njjqb
— vx-underground (@vxunderground) October 2, 2021
Schutz vor Conti-Ransomware
Sie denken, dass Sie von Ransomware-Attacken verschont bleiben? Leider können Sie das nicht wissen. Denn immer häufiger werden auch kleine Unternehmen Opfer von Erpressungsangriffen. Vor allem sie sollten sich deswegen vor digitaler Erpressung umfassend schützen.
Hierfür benötigen sie ein umfassendes IT-Sicherheitskonzept und eine IT-Strategie inklusive einem Disaster-Recovery-Plan. Sie sollten eine Backup-Lösung und ein Patch-Management professionell umsetzen, damit Ihre Daten im Falle einer Verschlüsselung extern gesichert sind und kritische Sicherheitslücken wie Log4Shell oder ProxyShell möglichst schnell geschlossen werden.
Sollten Sie dabei kompetente Hilfe benötigen, ist PC-SPEZIALIST in Ihrer Nähe der passende Ansprechpartner für Ihre Firmen-IT. Natürlich können Sie PC-SPEZIALIST auch zu Ihrem IT-Verantwortlichen machen. Dank des IT-Basisschutz, den es je nach Anforderung auf konkrete Bedürfnisse zugeschnittene Sicherheitspakete gibt, können Sie Ihrer Arbeit unbesorgt nachgehen.
Sollte es für Sie zu spät sein und sollten Sie bereits Opfer der Conti-Ransomware oder eines weiteren Erpressertrojaners geworden sein, sollten Sie am besten ebenfalls direkt PC-SPEZIALIST mit ins Boot holen. Wir gehen mit Ihrem Problem diskret um und versuchen, schnellstmöglich eine Möglichkeit zu finden, damit Sie wieder arbeitsfähig sind.
Update vom 29.06.2022: Mehr als 850 Unternehmen angegriffen
Die Group-IB befasst sich mit den Meilensteinen einer der aggressivsten Ransomware-Operationen: mit der Conti-Ransomware. Sie kommt zu dem Schluss, dass sie Betreiber der Ransomware in zwei Jahren Aktivität mehr als 850 Unternehmen angegriffen haben. Darunter befinden sich unter anderem nicht nur Firmen und Regierungsbehörden, sondern sogar ein ganzes Land.
Allein im Jahr 2020 veröffentlichte Conti die Daten von 173 Opfern auf einer eigenen Leak-Seite. Ende 2021 zählte Conti dann zu den größten und aggressivsten Gruppen – bis dahin hatte die Ransomware die Daten von 530 Unternehmen veröffentlicht. In den ersten vier Monaten im Jahr kamen die Daten von weiteren 156 Unternehmen hinzu, allein im April 2022 hat die Gruppe weltweit die Daten von 46 Organisationen veröffentlicht.
Innerhalb von zwei Jahren sind 859 Unternehmen, darunter 47 deutsche Unternehmen, zum Opfer von Conti-Ransomware geworden. Group-IB vermutet allerdings, dass die tatsächliche Anzahl an betroffenen Organisationen deutlich höher liegt.
_______________________________________________
Andere Stimmen zum Thema: t3n, heise online, heise online, secion, Coveware, LOGPOINT, it-daily
Schreiben Sie einen Kommentar