Akamai hat die geleakte interne Dokumentation der Conti-Gruppe untersucht und die Tools und Techniken der Ransomware-Gruppe analysiert. Obwohl noch vieles über Conti und andere Ransomware-Gruppen unbekannt ist, haben diese Dokumente einen Einblick in eine cyberkriminelle Organisation aus erster Hand gegeben.
Conti gilt als eine der erfolgreichsten Ransomware-Gruppen der Welt mit einem geschätzten Umsatz von fast 200 Millionen Dollar. Die Gruppe hat es auf umsatzstarke Unternehmen abgesehen. Die Analyse zeigt eine Liste konkreter Techniken und Verfahren, die von Conti eingesetzt werden. Die Gruppe nutzt Verfahren (TTPs) und Kompromittierungsindikatoren (Indicators of Compromise, IoC) sowie potenzielle Entschärfungstechniken, die von Blue Teams genutzt werden können.
Die Angriffsszenarien sind vielschichtig und detailorientiert. Conti hat eine Formel gefunden, die nach wie vor funktioniert: Anmeldeinformationen sammeln, verbreiten und das Ganze wiederholen. Die Dokumentation der Cyber-Attacken zeigt einen starken Fokus auf die Ausbreitung des "Hands on Keyboard“-Netzwerkes - ein Hinweis auf die Notwendigkeit eines starken Schutzes gegen laterale Bewegungen und dessen entscheidende Rolle bei der Verteidigung gegen Ransomware.
Bei den TTPs handelt es sich um bekannte, aber äußerst wirksame Techniken. Sie sind eine ernüchternde Erinnerung an die Auswahl an Tools, die Angreifer-Gruppen wie Conti zur Verfügung stehen und geben möglicherweise auch einen Hinweis auf die von anderen Gruppen häufig verwendeten Tools. Das Studium dieser TTPs bietet Sicherheitsteams einen Einblick in den Modus Operandi der Angreifer, um besser auf sie vorbereitet zu sein.
Die Gruppe legt den Schwerpunkt eher auf Hacking und praktische Verbreitung als auf Verschlüsselung. Deshalb sollten Netzwerkverteidiger sich auch auf diese Teile der Kill Chain konzentrieren, anstatt sich auf die Verschlüsselungsphase zu fokussieren.
Keines der Instrumente, die Conti einsetzt, ist neu. Die Betreiber von Conti haben viele Tools und Methoden, die sie einsetzen, um Zielnetzwerke zu infizieren und schließlich zu verschlüsseln, aber sie sind uns alle bekannt. Es handelt sich nicht um einzigartige Zero-Day-Bedrohungen, sondern um "allgemein bekannte" TTPs, die auch von Red Teams überall eingesetzt werden.
Diese Dokumentation und Analyse zeigt, dass wir als Gemeinschaft Ransomware ganzheitlicher betrachten müssen und nicht nur die Verschlüsselung. Normalerweise wird bei der Diskussion über Ransomware der Schwerpunkt eher auf den eigentlichen Akt der Verschlüsselung gelegt.
Allerdings zeigen die Ergebnisse der Analyse, dass es einen langen Prozess gibt, der stattfinden muss, bevor eine Verschlüsselung überhaupt beginnen kann. Betrachtet man das Verhältnis zwischen der Hacking-Dokumentation und der Verschlüsselungsdokumentation, so wird deutlich, dass das Hauptproblem beim Hacking liegt (Einbruch in das Netzwerk, seitliche Bewegung und Ausbreitung, Vermeidung der Entdeckung) und nicht nur bei der Datenverschlüsselung und -exfiltration.
Diese Erkenntnis zeigt, dass die Entdeckungsfläche, die man als Verteidiger nutzen könnte, viel größer ist, als es den Anschein hat. Man muss sie nur ausschöpfen und nutzen. Nur weil diese TTPs nicht neu sind, sind sie nicht trivial - sonst würden sie nicht von einer der erfolgreichsten heute aktiven Ransomware-Gruppen verwendet.