Conti-Ransomware
Author
Robin Laufenburg, Di, 28. Dez. 2021
in Aktuelles

Conti-Ransomware

Conti-Erpressergruppe nutzt Sicherheitslücke Log4j aus

Aufgrund der Sicherheitslücke in Log4j herrscht weltweit höchste Alarmbereitschaft. Und das nicht ohne Grund: Denn selten haben sich Cyberangriffe vergleichbar gehäuft. Aktuell verbreitet sich vor allem die sogenannte Conti-Ransomware rasend schnell und verursacht großen Schaden.

Was es mit der Conti-Erpressergruppe und ihrer Ransomware auf sich hat und wie Sie sich schützen, erfahren Sie hier.

Conti-Ransomware nutzt Sicherheitslücke Log4Shell

Für Cyberkriminelle ist die Schwachstelle in der Java-Bibliothek Log4j (Log4Shell) ein gefundenes Fressen. Die ersten Angriffe wurden unmittelbar  nach dem Bekanntwerden der Sicherheitslücke durchgeführt. Heute sind laut Presseinformationen aber auch erste Angriffe von Großkriminellen wie Conti verzeichnet worden, die auf die aktuelle Sicherheitslücke in Log4j abzielen.

Conti ist vor allem für die gleichnamige Ransomware bzw. den Erpressertrojaner Conti bekannt. Die Erpressergruppe führt dabei vor allem Erpressungsangriffe auf Anfrage (Ransomware-as-a-Service) durch. Heute gehört sie dabei zu den gefährlichsten und erfolgreichsten cyberkriminellen Organisationen der Welt. Die derzeitigen Log4j-Angriffe sind dabei nicht die ersten, in denen Conti eine bekannte Sicherheitslücke gekonnt ausnutzt. Die Erpressergruppe war vor einem Jahr in der Presse, weil sie den ProxyShell-Exploit in Exchange-Servern ausnutzten. Damals hatte Conti innerhalb von 48 Stunden rund ein TB Daten herausgeschleust.

Conti-Erpressungstrojaner

Der Conti-Erpressungstrojaner nimmt Ihre Daten als Geisel und gibt sie erst gegen eine Zahlung wieder frei. Bild: Pexels/TimaMiroshnichenko

Was ist die Conti-Ransomware?

Die Conti-Ransomware tauchte im Mai 2020 erstmals auf. Sie gilt als weiterentwickelter Nachfolger der Ryuk-Ransomware, die wahrscheinlich seit dem Jahr 2018 vom russischen Bedrohungsakteur Wizard Spider entwickelt und verbreitet wurde. Während Ryuk jedoch auf klar wirtschaftspolitische Angriffe setzte, ist die Conti-Ransomware vor allem auf Auftragsangriffe spezialisiert.

Nach einem erfolgreich durchgeführten Conti-Ransomware-Angriff erscheint ein Text-Dokument mit dem Namen „CONTI_README.txt“ auf dem Desktop des betroffenen Rechners, in dem sich die Kontaktdaten der Conti-Erpresse sowie eine Information zur Verschlüsselung finden. Meistens sind die persönlichen Daten, Fotos und wichtige Dokumente mit einer unbekannten Hashfunktion verschlüsselt. Die Dateinamen ändern sich im Zuge der Verschlüsselung und an die Dateiendung wird ein .CONTI angehängt. Aus .docx oder .jpg wird beispielsweise .docx.CONTI und jpg.CONTI. Das Öffnen der Dateien ist nicht mehr möglich.

Erfolge der Conti-Ransomware

Die Lösegeldforderungen des Erpressertrojaners reichen bekanntermaßen bis zu 25 Millionen US-Dollar und sind auf die Größe der Opfer zugeschnitten. Und dieses Geschäftsmodell ist erschreckend erfolgreich:

Im ersten Quartal 2021 war nach Errechnungen von Coveware die Conti-Ransomware bereits der zweiterfolgreichste Erpressertrojaner weltweit. Und die Entwicklung hielt an, denn laut Informationen der US-Behörde Financial Crimes Enforcement Network erbeuteten die Conti-Erpresser in der ersten Jahreshälfte 2021 ein Lösegeld von circa zwölf Millionen US-Dollar.

Die weltweit meisten Ransomware-Angriffe wurden im Jahr 2021 von REvil und den Conti-Erpressern durchgeführt. Solche aktuellen Erkenntnisse zeigen, dass sich Cybercrime zunehmend professionalisiert und in den Händen von hochgradig vernetzten Hackergruppen liegt.

Conti-Gruppe

Die Conti-Gruppe gehört zu den bekanntesten cyberkriminellen Zusammenschlüssen. Bild: Pexels/MikhailNilov

Was ist die Conti-Gruppe?

Es wird davon ausgegangen, dass es sich bei Mitgliedern von Wizard Spider um die Conti-Kerngruppe handelt. Nicht nur die Entwickler der Conti-Ransomware von Wizard Spider sind Teil der Conti-Gruppe, sondern auch die geprüften Erpresser, die die Schadsoftware auf Mietbasis nutzen. Die Gruppe gilt als hochgradig elitär und professionell.

Das Besondere bei Conti als Ransomware-as-a-Service ist die ausführliche und einfach verständliche Anleitung, die zur Conti-Ransomware mitgeliefert wird. Sie wurde im Sommer 2021 von einem unzufriedenen Conti-Erpresser geleaked. Bestandteil des Leaks waren Informationen über die Ransomware und die Vorgehensweise von Conti. Auch veröffentlichte er ein Archiv mit über 100 MB an Tools und Dokumenten. Darunter befinden sich Skripte, die Antivirenlösungen wie den Windows Defender auf Zielsystemen deaktivieren lassen.

Veröffentlichung von Daten

Die Conti-Gruppe ist dafür bekannt geworden, dass sie ihren Opfern nahelegt, keine Details zu Lösegeld-Verhandlungen zu veröffentlichen. Die erbeuteten Daten ihrer Opfer würden veröffentlicht werden, sollten Screenshots von Verhandlungen an Journalisten oder IT-Spezialisten herangetragen werden. Das machte die Conti-Gruppe auch bereits wahr.

Der japanische Elektronikkonzern JVCKenwood, der Details zur Verhandlung mit Conti veröffentlichte, musste daran glauben. Seine Unternehmensdaten wurden auf der Conti-Leak-Site im Tor-Netzwerk veröffentlicht. Mit einem öffentlichen Statement ging die Conti-Gruppe auf diesen Vorfall ein und gab in Form eines öffentlichen Statements bekannt, dass Handlungen gegen die Gruppe Konsequenzen haben:

Schutz vor Ransomware

Sie denken, dass Sie von Ransomware-Attacken verschont bleiben? Leider können Sie das nicht wissen. Denn immer häufiger werden auch kleine Unternehmen Opfer von Erpressungsangriffen. Vor allem sie sollten sich deswegen vor digitaler Erpressung umfassend schützen.

Hierfür benötigen sie ein umfassendes IT-Sicherheitskonzept und eine IT-Strategie inklusive einem Disaster-Recovery-Plan. Sie sollten eine Backup-Lösung und ein Patch-Management professionell umsetzen, damit Ihre Daten im Falle einer Verschlüsselung extern gesichert sind und kritische Sicherheitslücken wie Log4Shell oder ProxyShell möglichst schnell geschlossen werden.

Sollten Sie dabei kompetente Hilfe benötigen, ist PC-SPEZIALIST in Ihrer Nähe der passende Ansprechpartner für Ihre Firmen-IT. Natürlich können Sie PC-SPEZIALIST auch zu Ihrem IT-Verantwortlichen machen. Dank des IT-Basisschutz, den es je nach Anforderung auf konkrete Bedürfnisse zugeschnittene Sicherheitspakete gibt, können Sie Ihrer Arbeit unbesorgt nachgehen.

Sollte es für Sie zu spät sein und sollten Sie bereits Opfer der Conti-Ransomware oder eines weiteren Erpressertrojaners geworden sein, sollten Sie am besten ebenfalls direkt PC-SPEZIALIST mit ins Boot holen. Wir gehen mit Ihrem Problem diskret um und versuchen, schnellstmöglich eine Möglichkeit zu finden, damit Sie wieder arbeitsfähig sind.

_______________________________________________

Weiterführende Links: t3n, heise online, heise online, secion, Coveware, LOGPOINT

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.