Das spektakuläre Vorgehen der Conti Ransomware Erpresser – eine Reise in die Welt der Cyberkriminellen
von Svenja Koch
Was steckt hinter der Conti Ransomware?
Conti gehört zur Klasse der Erpressungs-Trojaner. Die Trickbot-Bande gilt als der Entwickler der Schadsoftware. Von dieser Gruppe stammte bereits die Ryuk-Ransomware. Conti gilt als Weiterentwicklung von Ryuk. Neben REvil ist Conti im Jahr 2021 die wohl gefährlichste und vor allem am weiten verbreitete Schadsoftware, die bei Cyberangriffen zum Einsatz kommt. Dazu ist Conti auch noch sehr effektiv. So haben Conti-Erpresser alleine im ersten Halbjahr 2021 mithilfe dieser Ransomware rund zwölf Millionen US-Dollar an Lösegeldern erpresst.
Das Interessante an der Conti Ransomware ist das Geschäftsmodell rund um die Schadsoftware. So sind es nicht die Entwickler selbst, die als Conti-Erpresser auftreten, sondern Cyberkriminelle, die die Schadsoftware mieten. In diesem Zusammenhang wird von Ransomware as a Service gesprochen. Dieses Konzept ist direkt von den bekannten Cloud-Dienstleistungen der Art Software as a Service kopiert. Ein Cyberkrimineller mietet die Ransomware und erhält neben der Software auch eine präzise Anleitung für den Umgang mit Conti. Der gesamte Cyberangriff inklusive der Erpressungszahlungen findet über Infrastruktur statt, die die Betreiber der Ransomware as a Service bereitstellen. Das Bezahlmodell basiert laut dem Conti Leak auf einer prozentualen Beteiligung der Entwickler bei einer erfolgreichen Erpressung.
So gehen Conti-Erpresser bei Cyberangriffen vor
Eine Besonderheit an der Conti Ransomware ist die umfassende Anleitung, die mitgeliefert wird. In dieser ist nicht nur der Umgang mit der Ransomware beschrieben, sondern auch, wie Cyberkriminelle geeignete Ziele identifizieren. Die komplette Anleitung ist so ausgearbeitet, dass es selbst Laien gelingt, erfolgreich Cyberangriffe mit Conti durchzuführen. Somit müssen die Angreifer über wenig bis gar keine Erfahrung im Umgang mit Ransomware verfügen. Vielmehr folgen sie einfach Schritt für Schritt den Anweisungen in der Anleitung. Dies zeigt, wie spezialisiert die Cyberkriminalität in diesem Sektor inzwischen ist.
Ebenso überraschend ist, dass zum Ransomware as a Service neben Conti auch eine Software mit der Bezeichnung Cobalt Strike gehört. Cobalt Strike ist im Kern ein Tool der IT Security. Es kommt bei Angriffssimulationen auf Netzwerke im Rahmen des sogenannten Red Teaming zum Einsatz. Hier simulieren IT-Spezialisten Cyberangriffe auf eigene oder Kundennetzwerke und testen so, ob Sicherheitslücken vorhanden sind. Cobalt Strike lässt sich Remote auf Computern platzieren und dient dann für die Kommunikation mit dem Command&Control Server der Angreifer. Über diese Cobalt Strike Beacons erhalten die Angreifer Informationen über den kompromittierten Computer sowie die Möglichkeit, sich auf diesem System sowie tiefer im Netzwerk zu bewegen. Auch für den Einsatz von Cobalt Strike liefert der Conti Ransomware as a Service eine umfassende Bedienungsanleitung mit.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Der erste Schritt des eigentlichen Cyberangriffe ist es also, Lücken in der IT Security des designierten Ziels zu finden. Dafür kommt Cobalt Strike zum Einsatz. Die Software scannt Firewalls auf Schwachstellen und ermöglicht es somit, dass Angreifer diese Lücken in der IT Security ausnutzen.
Im nächsten Schritt beschäftigt sich die Anleitung mit der Beschaffung der notwendigen Rechte, um die Kontrolle über die Systeme zu übernehmen. Hierbei liegt der Fokus auf Active Directory. Die Anleitung verweist auch auf weitere Hilfsmittel, wie etwa ADFind oder SharpView, die sich für das Ausspionieren von Netzwerkstrukturen sowie des Active Directorys eignen. Durch das Kompromittieren ist es möglich, die Domain-Admin-Credentials zu verändern. Auf diese Weise gelangen die Angreifer dann in den Besitz eines Kontos mit Administratorenrechten. Der nächste und letzte Schritt ist dann die eigentliche Ransomware-Attacke. Der Verschlüsselungstrojaner wird nun in das Netzwerk geladen und über das Konto oder auch mehrere Konten mit Administratorenrechten ausgeführt. Dies führt zur Verschlüsselung der Daten auf den kompromittierten Servern und Rechnern.
Der Conti Leak zeigt, wie präzise die Anleitungen auch in Bezug auf das Stehlen von Daten sind. Dieser Vorgang findet optional statt, sobald Zugang zu den Netzwerken und Servern vorhanden ist. Für die Extraktion wird ein Konto bei einem Filehoster angelegt, den die Angreifer aufgrund der Nachvollziehbarkeit unbedingt über eine Kryptowährung bezahlen. Für jede Attacke wird ein neuer, separater Zugang benötigt, warnt die Anleitung. Zugangsdaten für Speicherplatz bei einem solchen Filehoster gehören mit zum Ransomware as a Service, wie der Conti Leak zeigt.
Das Stehlen von Daten stellt eine weitere Möglichkeit dar, mit der Conti-Erpresser Lösegeld fordern. Es kam bereits mehrfach vor, dass die Angreifer damit drohten, die entwendeten Daten zu veröffentlichen. Abhängig davon, welche Arten von Dateien die Angreifer entwendet haben, sind die Folgen für das Unternehmen oder auch einzelne Personen mehr oder weniger verheerend. Da solche Datendiebstähle nicht mehr rückgängig zu machen sind, ist es inzwischen umso wichtiger, die IT Security mit den notwendigen Ressourcen auszustatten, um solche Cyberangriffe zu verhindern.
Die genauen Inhalte und Hintergründe des Conti Leaks
Der Urheber des Conti Leak ist ein unzufriedener Nutzer des Ransomware as a Service, der in einem Onlineforum Details über das Modell preisgab. Der Grund ist ganz offensichtlich, dass dieser Conti-Erpresser erfolgreich war, aber für seine kriminellen Machenschaften lediglich 1.500 US-Dollar erhielt. Die restliche erpresste Summe strichen die Betreiber der Ransomware as a Service-Plattform ein. Dies empfand der Conti-Erpresser als unfair und publizierte im Conti Leak dann Informationen über die Ransomware und die Vorgehensweise. So veröffentlichte dieser ein Archiv mit 113 MB an Tools und Anleitungen. Darunter befinden sich Skripte, mit denen sich Antivirenlösungen wie Bitdefender, TrendMicro oder auch der Windows Defender auf Zielsystemen deaktivieren lassen. Ebenfalls wurden im Rahmen des Conti Leak die IP-Adressen der Cobalt Strike Server bekannt, die die Betreiber der Ransomware as a Service-Plattform für die Steuerung des Erpressungstrojaners einsetzen.
Gegenmaßnahmen – die Waffen der IT Security im Kampf gegen Conti-Erpresser und andere Ransomware
Die Optionen für die Reaktion auf Cyberangriffe mit Ransomware wie Conti hängen vor allem von dem Zeitpunkt ab, wann die IT Security die Attacke entdeckt. Der Worst Case ist, dass Daten bereits verschlüsselt sind und der Zugang zu Systemen verwehrt ist. Dies zeigt sich bei der Conti Ransomware anhand ganz eindeutiger Symptome. Auf dem Desktop erscheint ein Text-Dokument mit dem Namen "CONTI_README.txt". In dieser hinterlegen die Conti-Erpresser ihre Kontaktmöglichkeiten sowie eine kurze Nachricht, dass Teile des Systems verschlüsselt sind. Dies betrifft häufig die eigenen Dateien, Fotos und wichtige Dokumente. Auch bei diesen lässt sich sofort ein Bezug zur Conti Ransomware erkennen, denn die Dateinamen verändern sich im Zuge der Verschlüsselung. So lauten die Dateiendungen beispielsweise nicht mehr .docx oder .jpg, sondern .docx.CONTI und jpg.CONTI. Das Öffnen ist nicht mehr möglich und die Inhalte sind mit einem Algorithmus verschlüsselt.
In diesem Fall ist es zunächst notwendig, die Verbindung zum Internet umgehend zu unterbrechen. Dies gilt zunächst für alle Systeme im eigenen Netzwerk, denn es ist nicht möglich, zu garantieren, dass die Angreifer noch Zugriff auf andere Computer im Netzwerk haben. Die Systeme, auf denen Daten verschlüsselt sind, muss die IT Security komplett neu aufsetzen. Besitzt das Unternehmen eine Strategie für Backups und die Wiederherstellung von Systemen, ist dies in der Regel eine leichte Aufgabe. In einigen Unternehmen fehlt eine solche Incident Response Strategie jedoch nach wie vor. Dann droht ein partieller oder sogar vollständiger Datenverlust. Auf die Forderungen der Conti-Erpresser einzugehen, wäre hingegen ein großer Fehler. Zum einen wird so das System Ransomware as a Service mit Conti finanziert, was dafür sorgt, dass das Konzept weiter ausgebaut wird. Zum anderen gibt es keine Garantie, dass die Kriminellen die Daten entschlüsseln. Möglicherweise verfügen diese nicht einmal über das technische Wissen oder die Möglichkeiten dafür.
Die IT Security hat außerdem die Aufgabe, den Cyberangriff zu analysieren. Hierbei geht es vor allem darum, herauszufinden, auf welchem Weg die Schadsoftware in das Unternehmensnetzwerk gelangte, beispielsweise mit einem Compromise Assessment. Ein weiterer Punkt beschäftigt sich in diesem Zusammenhang damit, wie lange die Kriminellen im Netzwerk aktiv waren und welche Konten sie kompromittiert haben. Dementsprechend ist es wichtig, die eventuell von den Angreifern erstellten Konten zu identifizieren und zu löschen. Im gleichen Schritt erfolgt der Wechsel aller Passwörter im Unternehmen, da nicht auszuschließen ist, dass diese ebenfalls kompromittiert sind. Die Cyberkriminellen haben die Daten eventuell kopiert und nutzen diese für einen späteren Angriff. Es ist außerdem erforderlich, im Rahmen des Compromise Assessments alle Systeme im Unternehmen auf eine Infektion zu prüfen. Erst nach Abschluss dieser Überprüfung darf wieder eine Verbindung mit dem Unternehmensnetzwerk sowie dem Internet erfolgen.
Präventive Maßnahmen gegen die Conti Ransomware
Durch den Conti Leak sind jetzt die Vorgehensweisen bei dieser Form von Ransomware im Detail bekannt. Da die meisten der Nutzer wahrscheinlich Kriminelle ohne ausgedehnte Fachkenntnisse im IT-Bereich sind, ist davon auszugehen, dass die Angreifer häufig exakt nach den Anleitungen vorgehen. Dies gibt der IT Security von Unternehmen die Möglichkeit, entsprechende Vorbereitungen zu treffen und Cyberangriffe dieser Art bereits im Anfangsstadium zu stoppen. Eine dieser präventiven Maßnahmen ist die Deaktivierung des Remote-Desktop-Protokolls (RDP). Über dieses Protokoll sind der Fernzugriff und die Steuerung eines Rechners über das Internet möglich. Falls RDP für die Fernwartung benötigt wird, bietet sich der Aufbau einer VPN-Verbindung für diesen Zweck an. Dann ist ein direkter Zugriff von außen nicht möglich.
Wichtig ist weiterhin, einen Incident-Response-Plan sowie einen Disaster-Recovery-Plan implementiert zu haben. Auf diese Weise ist eine geordnete Reaktion im Ernstfall sichergestellt. Ebenfalls liegen im Rahmen dieser Strategien Techniken für die Datensicherung und die Wiederherstellung von Systemen vor. Somit wird ein Datenverlust im Ernstfall verhindert und Conti-Erpresser haben kein Druckmittel in der Hand, wenn die Festplatten verschlüsselt sind.
Die beste Strategie ist es jedoch, den Worst Case zu verhindern. Dies ist mit einer Reihe von Sicherheitsmaßnahmen realisierbar. Besonders hervorzuheben sind hier Systeme für die Angriffserkennung in Echtzeit sowie Dienstleister, die einen Active Cyber Defense Service anbieten. Solche Lösungen überwachen Systeme und Netzwerke laufend und erkennen ungewöhnliche Aktivitäten. Dazu gehören beispielsweise Remote-Zugriffe von unbekannten IPs, neue Konten mit Administratorenrechten oder ferngesteuerte Befehle von einem Command & Control Server. Die IT Security erhält dann in Echtzeit eine Warnmeldung und hat die Möglichkeit, dem Sachverhalt nachzugehen. Auf diese Weise lassen sich Cyberangriffe unterbinden, bevor die Conti-Erpresser die Chance haben, die Ransomware auszubringen und zu aktivieren.
Fazit
Durch den Conti Leak wurde bestätigt, wovor IT-Sicherheitsexperten bereits seit einiger Zeit warnen. Mit den Konzept Ransomware as a Service vermieten Hacker ihre technischen Fähigkeiten nun an eine breite Masse von Cyberkriminellen. Professionelle Anleitungen, die Laien durch jeden Schritt eines Cyberangriffs leiten, sowie weitere passende Tools für die Vorbereitung der Ransomware-Attacke zeigen, wie hoch entwickelt dieser Sektor ist. Für Unternehmen bedeutet dies eine stetig steigende Gefahr durch Cyberangriffe. Jeder ist ein potenzielles Ziel für die Cyberkriminellen, da es einzig und allein um Lösegeldforderungen geht. Die IT Security muss sich auf diese Situation einstellen und entsprechende Gegenmaßnahmen, wie beispielsweise ein System zur Anomalie-Früherkennung, implementieren. Wichtig ist hier vor allem, mit proaktiven Methoden die Prävention zu verbessern, so dass Hacker gar nicht erst ins eigene Netzwerk eindringen - beziehungsweise die IT Security solche Verletzungen umgehend identifiziert.