Contis Ransomware-Datenleck

Ein Schweizer PRODAFT Threat Intelligence (PTI) Team recently published a report on their findings that relate to one of the most notorious cybercriminal gangs in the world. The team managed to get access to Conti`s infrastructure and obtained the real IP addresses of their servers. The report gives insights on how the Conti ransomware gang works, how many targets they have already attacked and more.

Conti ransomware suffered data leakage

„Wir sind fest davon überzeugt, dass dieser Bericht ein wichtiges Medium sein wird, um das Innenleben hochkarätiger Ransomware-Gruppen wie Conti . zu verstehen, insbesondere mit dem Ziel, effizientere Kooperations- und Sanierungsstrategien aller befugten öffentlichen und privaten Amtsträger zu schaffen,” PRODAFT Bedrohungsintelligenz (PTI) Team schrieb auf ihrer Website mit einer PDF-Datei von ein Bericht angehängt.

Conti ist insbesondere als ziemlich rücksichtslose Cyberkriminelle bekannt, die wahllos Krankenhäuser ins Visier nimmt, Polizei-Dispatcher und Rettungsdienstanbieter. Sie stellen den Opfern oft keinen Entschlüsselungsschlüssel zur Verfügung, selbst wenn die Zahlung erfolgt ist. Diese spezielle Ransomware-Gruppe macht oft Schlagzeilen mit ihren hochkarätigen Zielen und hohen Summen, die sie anschließend verlangen.

Contis Ransomware-Datenleck
Conti Erpressungsblog

Konten-Ransomware ( a.k.a. Zauberspinne, Ryuk und Hermes) ist ein bösartiges Programm, das Benutzer daran hindert, auf ihre Daten zuzugreifen, es sei denn, die Opfer zahlen ein Lösegeld. Conti scannt Netzwerke automatisch nach profitablen Zielen, expandiert durch das Netzwerk, und verschlüsselt jedes Gerät und jedes Konto, das es erkennen kann. Im Gegensatz zu ähnlichen Ransomware-Varianten, Conti Ransomware funktioniert als Ransomware-as-a-Service (RAAS) Geschäftsmodell. Das bedeutet, dass es Ransomware-Entwickler gibt, die ihre Ransomware-Technologien an verbundene Unternehmen verkaufen oder vermieten. Die verbundenen Unternehmen wiederum verwenden diese Technologie, um Ransomware-Angriffe.

Contis Ransomware-Datenleck
Conti-Hauptseite

Im Oktober wurde erstmals die Ransomware-Gruppe Conti entdeckt 2019. Seitdem hat die Bande auf eine Ransomware-Variante namens Conti v3.0 aktualisiert. Da die Gruppe als RaaS-Partnermodell arbeitet, rekrutiert sie aktiv neue Mitglieder. Auf 05.08.2021 es scheint, dass einer dieser Partner die Teamdaten von Conti durchgesickert hat. Es enthüllte die Schulungsmaterialien der Gruppe, Führer, interne Dokumente und vieles mehr. So etwas passiert im Affiliate-Geschäftsmodell. Ein Benutzer namens m1Geelka hat die Anschuldigungen erhoben, dass die Gruppe sie in Bezug auf Geld misshandelt hat.

Cyberkriminelle Bande nutzt aktuelle Sicherheits-Exploits

Conti Ransomware entwickelt sich in ihrem Angriffsmuster ständig weiter. Sie verwenden aktuelle Sicherheits-Exploits wie FortiGate und PrintNightmare, das sind bekannte Exploits mit bereits verfügbaren offiziellen Patches. Viele Benutzer haben die Patches immer noch nicht angewendet und die Bande manipuliert diese Tatsache erfolgreich. Da Conti als RaaS-Dienstmodell operiert, bietet es der Bande eine immense Flexibilität bei der Durchführung eines Angriffs. Die Tochtergesellschaften von Conti wenden ein breites Spektrum an Methoden an und unter ihnen:

  • Füllen von Anmeldeinformationen;
  • Massenscannen von Schwachstellen;
  • High-End-Software zur Verbreitung von Malware;
  • E-Mail-Phishing;
  • Gefälschte Websites, imitierte Telefonanrufe, und ähnliche Social-Engineering-Taktiken.
  • Unter diesen, Phishing ist bei weitem das häufigste. Eine weitere gängige Methode ist das Massenscannen von Schwachstellen. Dabei prüfen automatisierte Bots öffentlich exponierte Netzwerke auf bekannte Schwachstellen. Conti-Partner verwenden auch High-End-Malware-as-a-Service-Technologien wie BazarLoader, Trickbot und Emotet zum Zweck der Verbreitung von Conti-Ransomware.

    Der Bericht endet mit der detaillierten Beschreibung des Management Panels von Conti, Statistiken über die Aktivitäten der Gruppe und wie die Bande ihren Geldfluss verwaltet.

    Über Andy

    Cybersicherheitsjournalist aus Montreal, Kanada. Studium der Kommunikationswissenschaften an der Universite de Montreal. Ich war mir nicht sicher, ob ein Journalistenjob das ist, was ich in meinem Leben machen möchte, aber in Verbindung mit technischen Wissenschaften, genau das mache ich gerne. Meine Aufgabe ist es, die aktuellsten Trends in der Welt der Cybersicherheit zu erfassen und Menschen dabei zu helfen, mit Malware umzugehen, die sie auf ihren PCs haben.

    überprüfen Sie auch

    Angreifer erzwingen normalerweise keine langen Passwörter mit Brut-Force

    Angreifer verwenden normalerweise keine langen Passwörter mit Brute-Force

    Die Daten des Microsoft-Netzwerks von Honeypot-Servern zeigten, dass nur sehr wenige Angriffe lang und komplex waren …

    Ein weiterer Windows Zero Day ermöglicht Administratorrechte

    Ein weiterer Windows Zero Day ermöglicht Administratorrechte

    Der Forscher Abdelhamid Naceri, der diesmal häufig über Windows-Fehler berichtet, hat einen funktionierenden Proof-of-Concept fallen lassen …

    Hinterlasse eine Antwort