Group-IB hat heute seine Erkenntnisse über ARMattack vorgestellt. Dabei handelt es sich um eine der kürzesten und dennoch erfolgreichsten Kampagnen der russischsprachigen Ransomware-Bande Conti. In nur knapp einem Monat kompromittierte das berüchtigte Ransomware-Kollektiv mehr als 40 Unternehmen weltweit.
Der schnellste Angriff dauerte nur drei Tage, so der Group-IB-Bericht „CONTI ARMADA: DIE KAMPAGNE ARMATTACK„. In zwei Jahren haben die Ransomware-Betreiber über 850 Organisationen angegriffen, darunter Firmen, Regierungsbehörden und sogar ein ganzes Land.
Die Forschungsarbeit von Group-IB befasst sich eingehend mit der Geschichte und den wichtigsten Meilensteinen einer der aggressivsten und bestorganisierten Ransomware-Operationen.
Doppelter Schlag
Conti gilt als eine der erfolgreichsten Ransomware-Gruppen. Die Existenz der Gang wurde erstmals im Februar 2020 bekannt, als Schaddateien mit der Endung „.сonti“ auf dem Radar der Group-IB-Forscher erschienen. Die ersten Testversionen der Malware stammen jedoch bereits aus dem November 2019.
Seit 2020 dominiert Conti neben Maze und Egregor die Ransomware-Szene in Bezug auf die Anzahl der Unternehmen, deren Daten verschlüsselt wurden. Im Jahr 2020 veröffentlichte Conti die Daten von 173 Opfern auf einer eigenen dedizierten Leak-Seite (DLS). Ende 2021 zählte Conti zu den größten und aggressivsten Gruppen aufgrund der Veröffentlichung der Daten von 530 Unternehmen auf ihrer DLS.
In nur vier Monaten im Jahr 2022 veröffentlichte die Gruppe darüber hinaus Daten von 156 Unternehmen, sodass innerhalb von Jahren insgesamt 859 Leakage-Opfer, darunter 47 deutsche Unternehmen, zu verzeichnen sind. Allein im April 2022 wurden weltweit die Daten von 46 Organisationen veröffentlicht. Es wird angenommen, dass die tatsächliche Anzahl der betroffenen Organisationen deutlich höher liegt.
Die Walze
Conti und ihre Anhänger greifen häufig und schnell an. Group-IB-Experten analysierten eine der rasantesten und produktivsten Kampagnen der Gruppe mit dem Codenamen „ARMattack“. Die Kampagne dauerte zwar nur etwa einen Monat (vom 17. November bis 20. Dezember 2021), erwies sich aber als äußerst effektiv. Die Angreifer kompromittierten in diesem Zeitraum mehr als 40 Organisationen weltweit.
Die meisten Angriffe wurden in den USA durchgeführt (37 %), aber die Kampagne breitete sich auch in Europa aus - mit Opfern in Deutschland (3 %), der Schweiz (2 %), den Niederlanden, Spanien, Frankreich, der Tschechischen Republik, Schweden und Dänemark (jeweils 1 %). Die Gruppe griff auch Organisationen in den Vereinigten Arabischen Emiraten (2 %) und Indien (1 %) an.
In der Vergangenheit waren die fünf am häufigsten von Conti attackierten Branchen das verarbeitende Gewerbe (14 %), der Immobiliensektor (11,1 %), die Logistikbranche (8,2 %), die Dienstleistungsbranche (7,1 %) und der Handel (5,5 %).
Nachdem sie sich Zugang zur Infrastruktur eines Unternehmens verschafft haben, exfiltrieren die Bedrohungsakteure bestimmte Dokumente (meist um festzustellen, mit welcher Organisation sie es zu tun haben) und suchen nach Dateien mit Passwörtern (sowohl im Klartext als auch verschlüsselt).
Nachdem sich die Hacker alle erforderlichen Berechtigungen und Zugang zu allen gewünschten Geräten verschafft haben, installieren sie die Ransomware auf allen Geräten und führen sie aus. Laut dem Threat-Intelligence-Team von Group-IB wurde der schnellste Angriff der Bande in genau drei Tagen durchgeführt, vom ersten Zugriff bis zur eigentlichen Verschlüsselung der Daten.
Group-IB hat erstmals auch die „Arbeitszeiten“ von Conti analysiert. Höchstwahrscheinlich befinden sich die Gruppenmitglieder in verschiedenen Zeitzonen. Der Zeitplan zeugt jedoch von höchster Effizienz: Conti „arbeitet“ im Durchschnitt 14 Stunden pro Tag, 7 Tage die Woche. Keine Feiertage („Neujahrsfeiertage“ ausgenommen), keine Wochenenden. Die Gruppe beginnt ihre Arbeit gegen Mittag (GMT+3) und ihre Aktivität nimmt erst nach 21:00 Uhr ab.
Contis Angriffe sind geografisch weit gestreut, umfassen aber nicht Russland. Die Gruppe hält sich eindeutig an die unausgesprochene Regel unter russischsprachigen Cyberkriminellen: Greife keine russischen Unternehmen an. Die meisten Attacken erfolgen in den Vereinigten Staaten von Amerika (58,4 %), gefolgt von Kanada (7 %), dem Vereinigten Königreich (6,6 %), Deutschland (5,8 %), Frankreich (3,9 %) und Italien (3,1 %).
Ein weiterer Grund dafür, keine russischen Unternehmen ins Visier zu nehmen: Wichtige Conti-Mitglieder bezeichnen sich selbst als „Patrioten“. Diese Tatsache war die Ursache eines „internen Gruppenkonflikts“ im Februar 2022, der dazu führte, dass einige wertvolle Informationen von Conti online durchsickerten.
Zu den veröffentlichten Daten gehörten private Chatprotokolle, die von ihnen genutzten Server, eine Liste der Opfer und Details zu Bitcoin-Wallets, in denen insgesamt über 65.000 BTC deponiert waren. Aus den geleakten Chats ging hervor, dass die Gruppe in ernsthaften finanziellen Schwierigkeiten steckte und ihr Chef von der Bildfläche verschwunden war. Dennoch waren die Mitglieder bereit, das Projekt nach zwei bis drei Monaten wieder aufzunehmen.
Trotz des „Dolchstoßes“ und der zunehmenden Aufmerksamkeit der Strafverfolgungsbehörden wuchs der Appetit von Conti weiter an. Sie griffen nicht nur große Unternehmen, sondern auch ganze Länder an. Contis „Cyberkrieg“ gegen Costa Rica führte im April 2022 zur Ausrufung des Ausnahmezustands.
Förderprogramme
Conti hat eng mit anderen Ransomware-Betreibern wie Ryuk, Netwalker, LockBit und Maze zusammengearbeitet. Sie testeten sogar die Ransomware von Maze, unterzogen sie einem Reverse-Engineering und verbesserten damit ihre eigene Ransomware erheblich. Eine Analyse der ARMattack-Kampagne ergab, dass das Arsenal der Gruppe nicht nur die zuvor beschriebenen Windows-Tools umfasste, sondern auch Linux-Ransomware: Conti und Hive.
Allerdings neigt die Gruppe dazu, einzigartige Tools zu entwickeln, ohne Codefragmente zu recyceln. Auf diese Weise können beim Vergleich des Codes für ihre Tools keine gemeinsamen Muster erkannt werden. Bevor die Chatprotokolle geleakt wurden, konnten Cybersicherheitsforscher nur vermuten, dass es sich bei einigen RaaS-Partnerprogrammen („Ransomware as a Service“) in Wirklichkeit um Geschäftseinheiten von Conti handelt.
Zugleich war die Interaktion umfangreich. Manchmal nutzte Conti den Netzwerkzugang von anderen Erstzugangsvermittlern, in anderen Fällen teilte die Gang ihren eigenen Zugang für bescheidene 20 % des Umsatzes.
Wie seriöse IT-Unternehmen verfügt Conti über eigene Abteilungen für Personal, Forschung und Entwicklung sowie „Open Source Intelligence“ (OSINT). Es gibt Teamleiter, regelmäßige Gehaltszahlungen und Förderprogramme.
Eine Besonderheit von Conti ist die Ausnutzung neuer Schwachstellen, um den Erstzugang zum Opfer-Netzwerk zu erhalten. So wurde Conti beispielsweise dabei beobachtet, wie sie die jüngsten Sicherheitslücken CVE-2021-44228, CVE-2021-45046 und CVE-2021-45105 im log4j-Modul ausnutzten.
Weniger als eine Woche später nutzte Conti diese Schwachstellen aus, um vCenter-Server anzugreifen. Die durchgesickerten Chatprotokolle zeigten auch, dass die Gruppe neue Schwachstellen sorgfältig überwacht. Eine der Aufgaben des Conti-Chefs waren die Überwachung von Windows-Updates und die Analyse von Änderungen, die mit neuen Patches vorgenommen wurden.
Das unterstreicht einmal mehr die Notwendigkeit, Updates so schnell wie möglich zu installieren. Darüber hinaus gehören zur Conti-Crew Spezialisten mit Erfahrung in der Entdeckung von Zero-Day-Lücken.
„Die zunehmenden Aktivitäten von Conti und das Datenleck deuten darauf hin, dass Ransomware nicht länger ein Spiel zwischen durchschnittlichen Malware-Entwicklern ist, sondern eine illegale RaaS-Industrie, die Tausenden von Cyberkriminellen mit unterschiedlichen Spezialisierungen weltweit Arbeit beschert“, sagt Ivan Pisarev, Leiter des Dynamic Malware-Analysis-Teams in der Abteilung Threat-Intelligence von Group-IB.
„In dieser Sparte ist Conti ein berüchtigter Akteur, der tatsächlich ein ‚IT-Unternehmen‘ gegründet hat, dessen Ziel es ist, große Summen zu erpressen. Es ist schwer vorherzusagen, was mit Conti in Zukunft geschehen wird: ob es nach einem groß angelegten Rebranding weiterarbeiten oder in kleinere Teilprojekte aufgeteilt werden wird. Klar ist jedoch, dass die Organisation ihre Tätigkeit fortsetzen wird, entweder allein oder mithilfe von Projekten aus Untergruppen.“