Group-IB teilt heute seine Erkenntnisse \u00fcber ARMattack, die k\u00fcrzeste und dennoch erfolgreichste Kampagnen der russischsprachigen Ransomware-Gang Conti. In nur vier Monaten im Jahr 2022 ver\u00f6ffentlichte die Gruppe Daten von 156 Unternehmen, sodass innerhalb von Jahren insgesamt 859 Leakage-Opfer, darunter 47 deutsche Unternehmen, zu verzeichnen sind.<\/p>\n
Group-IB, ein Unternehmendas im Bereich Cybersicherheit t\u00e4tig ist und seinen Hauptsitz in Singapur hat, hat heute seine Erkenntnisse \u00fcber ARMattack vorgestellt. Dabei handelt es sich um eine der k\u00fcrzesten und dennoch erfolgreichsten Kampagnen der russischsprachigen Ransomware-Bande Conti. In knapp \u00fcber einem Monat kompromittierte das ber\u00fcchtigte Ransomware-Kollektiv mehr als 40 Unternehmen weltweit. Der schnellste Angriff dauerte nur drei Tage, so der Group-IB-Bericht. In zwei Jahren haben die Ransomware-Betreiber \u00fcber 850 Organisationen angegriffen, darunter Firmen, Regierungsbeh\u00f6rden und sogar ein ganzes Land. Die Forschungsarbeit von Group-IB befasst sich eingehend mit der Geschichte und den wichtigsten Meilensteinen einer der aggressivsten und bestorganisierten Ransomware-Operationen.<\/p>\n
Conti gilt als eine der erfolgreichsten Ransomware-Gruppen. Die Existenz der Gang wurde erstmals im Februar 2020 bekannt, als Schaddateien mit der Endung \u201e.\u0441onti\u201c auf dem Radar der Group-IB-Forscher erschienen. Die ersten Testversionen der Malware stammen jedoch bereits aus dem November 2019. Seit 2020 dominiert Conti neben Maze und Egregor die Ransomware-Szene in Bezug auf die Anzahl der Unternehmen, deren Daten verschl\u00fcsselt wurden. Im Jahr 2020 ver\u00f6ffentlichte Conti die Daten von 173 Opfern auf einer eigenen dedizierten Leak-Seite (DLS). Ende 2021 z\u00e4hlte Conti zu den gr\u00f6\u00dften und aggressivsten Gruppen aufgrund der Ver\u00f6ffentlichung der Daten von 530 Unternehmen auf ihrer DLS. In nur vier Monaten im Jahr 2022 ver\u00f6ffentlichte die Gruppe dar\u00fcber hinaus Daten von 156 Unternehmen, sodass innerhalb von Jahren insgesamt 859 Leakage-Opfer, darunter 47 deutsche Unternehmen, zu verzeichnen sind. Allein im April 2022 wurden weltweit die Daten von 46 Organisationen ver\u00f6ffentlicht. Es wird angenommen, dass die tats\u00e4chliche Anzahl der betroffenen Organisationen deutlich h\u00f6her liegt.<\/p>\n
Conti und ihre Anh\u00e4nger greifen h\u00e4ufig und schnell an. Group-IB-Experten analysierten eine der rasantesten und produktivsten Kampagnen der Gruppe mit dem Codenamen \u201eARMattack\u201c. Die Kampagne dauerte zwar nur etwa einen Monat (vom 17. November bis 20. Dezember 2021), erwies sich aber als \u00e4u\u00dferst effektiv. Die Angreifer kompromittierten in diesem Zeitraum mehr als 40 Organisationen weltweit. Die meisten Angriffe wurden in den USA durchgef\u00fchrt (37 %), aber die Kampagne breitete sich auch in Europa aus \u2013 mit Opfern in Deutschland (3 %), der Schweiz (2 %), den Niederlanden, Spanien, Frankreich, der Tschechischen Republik, Schweden und D\u00e4nemark (jeweils 1 %). Die Gruppe griff auch Organisationen in den Vereinigten Arabischen Emiraten (2 %) und Indien (1 %) an.<\/p>\n
In der Vergangenheit waren die f\u00fcnf am h\u00e4ufigsten von Conti attackierten Branchen das verarbeitende Gewerbe (14 %), der Immobiliensektor (11,1 %), die Logistikbranche (8,2 %), die Dienstleistungsbranche (7,1 %) und der Handel (5,5 %). Nachdem sie sich Zugang zur Infrastruktur eines Unternehmens verschafft haben, exfiltrieren die Bedrohungsakteure bestimmte Dokumente (meist um festzustellen, mit welcher Organisation sie es zu tun haben) und suchen nach Dateien mit Passw\u00f6rtern (sowohl im Klartext als auch verschl\u00fcsselt). Nachdem sich die Hacker alle erforderlichen Berechtigungen und Zugang zu allen gew\u00fcnschten Ger\u00e4ten verschafft haben, installieren sie die Ransomware auf allen Ger\u00e4ten und f\u00fchren sie aus. Laut dem Threat-Intelligence-Team von Group-IB wurde der schnellste Angriff der Bande in genau drei Tagen durchgef\u00fchrt, vom ersten Zugriff bis zur eigentlichen Verschl\u00fcsselung der Daten.<\/p>\n
Group-IB hat erstmals auch die \u201eArbeitszeiten\u201c von Conti analysiert. H\u00f6chstwahrscheinlich befinden sich die Gruppenmitglieder in verschiedenen Zeitzonen. Der Zeitplan zeugt jedoch von h\u00f6chster Effizienz: Conti \u201earbeitet\u201c im Durchschnitt 14 Stunden pro Tag, 7 Tage die Woche. Keine Feiertage (\u201eNeujahrsfeiertage\u201c ausgenommen), keine Wochenenden. Die Gruppe beginnt ihre Arbeit gegen Mittag (GMT+3) und ihre Aktivit\u00e4t nimmt erst nach 21:00 Uhr ab.<\/p>\n
Contis Angriffe sind geografisch weit gestreut, umfassen aber nicht Russland. Die Gruppe h\u00e4lt sich eindeutig an die unausgesprochene Regel unter russischsprachigen Cyberkriminellen: Greife keine russischen Unternehmen an. Die meisten Attacken erfolgen in den Vereinigten Staaten von Amerika (58,4 %), gefolgt von Kanada (7 %), dem Vereinigten K\u00f6nigreich (6,6 %), Deutschland (5,8 %), Frankreich (3,9 %) und Italien (3,1 %).<\/p>\n
Ein weiterer Grund daf\u00fcr, keine russischen Unternehmen ins Visier zu nehmen: Wichtige Conti-Mitglieder bezeichnen sich selbst als \u201ePatrioten\u201c. Diese Tatsache war die Ursache eines \u201einternen Gruppenkonflikts\u201c im Februar 2022, der dazu f\u00fchrte, dass einige wertvolle Informationen von Conti online durchsickerten. Zu den ver\u00f6ffentlichten Daten geh\u00f6rten private Chatprotokolle, die von ihnen genutzten Server, eine Liste der Opfer und Details zu Bitcoin-Wallets, in denen insgesamt \u00fcber 65.000 BTC deponiert waren. Aus den geleakten Chats ging hervor, dass die Gruppe in ernsthaften finanziellen Schwierigkeiten steckte und ihr Chef von der Bildfl\u00e4che verschwunden war. Dennoch waren die Mitglieder bereit, das Projekt nach zwei bis drei Monaten wieder aufzunehmen. Trotz des \u201eDolchsto\u00dfes\u201c und der zunehmenden Aufmerksamkeit der Strafverfolgungsbeh\u00f6rden wuchs der Appetit von Conti weiter an. Sie griffen nicht nur gro\u00dfe Unternehmen, sondern auch ganze L\u00e4nder an. Contis \u201eCyberkrieg\u201c gegen Costa Rica f\u00fchrte im April 2022 zur Ausrufung des Ausnahmezustands.<\/p>\n
\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"
Group-IB teilt heute seine Erkenntnisse \u00fcber ARMattack, die k\u00fcrzeste und dennoch erfolgreichste Kampagnen der russischsprachigen Ransomware-Gang Conti. In nur vier Monaten im Jahr 2022 ver\u00f6ffentlichte die Gruppe Daten von 156 Unternehmen, sodass innerhalb von Jahren insgesamt 859 Leakage-Opfer, darunter 47 deutsche Unternehmen, zu verzeichnen sind. Group-IB, ein Unternehmendas im Bereich Cybersicherheit t\u00e4tig ist und seinen […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"class_list":["post-450","post","type-post","status-publish","format-standard","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/450","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=450"}],"version-history":[{"count":0,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/450\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=450"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=450"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=450"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}