Die berüchtigte Ransomware-Gang Conti schließt, aber nicht für immer

Eskere Guru

Die als Conti bekannte Ransomware-Gruppe wurde offiziell geschlossen, wobei alle ihre Infrastrukturen jetzt offline sind.

Obwohl dies wie eine gute Nachricht erscheinen mag, ist es nur oberflächlich gut – Conti ist nicht vorbei, es hat sich einfach in kleinere Betriebe aufgeteilt.

Conti-Split-Chart.
Erweiterte Intel

Conti wurde im Sommer 2020 als Nachfolger der Ryuk- Ransomware eingeführt. Es stützte sich bei der Verbreitung auf Partnerschaften mit anderen Malware-Infektionen. Malware wie TrickBot und BazarLoader war der erste Einstiegspunkt für Conti, das dann mit dem Angriff fortfuhr. Conti erwies sich als so erfolgreich, dass es sich schließlich zu einem Cybercrime-Syndikat entwickelte, das TrickBot, BazarLoader und Emotet übernahm.

In den vergangenen zwei Jahren führte Conti eine Reihe hochkarätiger Angriffe durch, die auf die öffentlichen Schulen der Stadt Tulsa, Advantech und Broward County abzielten. Conti hielt auch die IT-Systeme der irischen Gesundheitsbehörde und des Gesundheitsministeriums wochenlang als Lösegeld fest und ließ sie erst los, als sie mit ernsthaften Problemen von Strafverfolgungsbehörden auf der ganzen Welt konfrontiert wurden. Dieser Angriff verschaffte Conti jedoch viel Aufmerksamkeit in den globalen Medien.

Zuletzt zielte es auf das Land Costa Rica ab, aber laut Yelisey Bogslavskiy von Advanced Intel war der Angriff nur eine Vertuschung der Tatsache, dass Conti die gesamte Operation auflöste. Boguslavskiy sagte gegenüber Bleeping Computer , dass der Angriff auf Costa Rica so öffentlich gemacht wurde, um den Mitgliedern von Conti Zeit zu geben, auf andere Ransomware-Operationen umzusteigen.

„Die Agenda, den Angriff auf Costa Rica zum Zwecke der Öffentlichkeitsarbeit statt des Lösegeldes durchzuführen, wurde intern von der Conti-Führung erklärt. Interne Mitteilungen zwischen Gruppenmitgliedern deuteten darauf hin, dass die angeforderte Lösegeldzahlung weit unter 1 Million US-Dollar lag (trotz unbestätigter Behauptungen, dass das Lösegeld 10 Millionen US-Dollar betrug, gefolgt von Contis eigenen Behauptungen, dass die Summe 20 Millionen US-Dollar betrug)“, heißt es in einem noch zu veröffentlichenden Dokument Bericht von Advanced Intel, der vorab von Bleeping Computer veröffentlicht wurde.

Logo der Conti-Ransomware-Gruppe.
Piepender Computer

Das endgültige Ende von Conti wurde durch die offene Zustimmung der Gruppe zu Russland und seiner Invasion in der Ukraine herbeigeführt. Auf offiziellen Kanälen ging Conti sogar so weit zu sagen, dass es alle seine Ressourcen bündeln wird, um Russland vor möglichen Cyberangriffen zu schützen. Anschließend ließ ein ukrainischer Sicherheitsforscher über 170.000 interne Chat-Nachrichten zwischen den Mitgliedern der Conti-Gruppe und schließlich auch den Quellcode für den Ransomware-Verschlüsselungscode der Bande durchsickern. Dieser Verschlüsseler wurde später verwendet, um russische Einheiten anzugreifen.

Aus heutiger Sicht wurde die gesamte Infrastruktur von Conti vom Netz genommen, und die Konzernspitze sagte, die Marke sei am Ende. Das bedeutet jedoch nicht, dass Conti-Mitglieder Cyberkriminalität nicht mehr verfolgen werden. Laut Boguslavskiy beschloss die Führung von Conti, sich aufzuteilen und mit kleineren Ransomware-Gangs wie AvosLocker, HelloKitty, Hive, BlackCat und BlackByte zusammenzuschließen.

Mitglieder der früheren Conti-Ransomware-Gang, darunter Geheimdienstanalysten, Pentester, Entwickler und Verhandlungsführer, sind über verschiedene Cyberkriminalitätsoperationen verteilt, aber sie sind immer noch Teil des Conti-Syndikats und stehen unter derselben Führung. Dies hilft ihnen, die Strafverfolgung zu umgehen und dennoch dieselben Cyberangriffe durchzuführen wie unter der Marke Conti.

Conti galt als eine der teuersten und gefährlichsten Arten von Ransomware , die jemals entwickelt wurde, mit über 150 Millionen US-Dollar an Lösegeldzahlungen, die während seiner zweijährigen Tätigkeit gesammelt wurden. Die US-Regierung bietet eine beträchtliche Belohnung von bis zu 15 Millionen US-Dollar für die Hilfe bei der Identifizierung von Personen, die mit Conti zu tun haben, insbesondere von Personen in Führungspositionen.