Group-IB teilt heute seine Erkenntnisse über ARMattack, die kürzeste und dennoch erfolgreichste Kampagnen der russischsprachigen Ransomware-Gang Conti. In nur vier Monaten im Jahr 2022 veröffentlichte die Gruppe Daten von 156 Unternehmen, sodass innerhalb von Jahren insgesamt 859 Leakage-Opfer, darunter 47 deutsche Unternehmen, zu verzeichnen sind.
Group-IB, ein Unternehmendas im Bereich Cybersicherheit tätig ist und seinen Hauptsitz in Singapur hat, hat heute seine Erkenntnisse über ARMattack vorgestellt. Dabei handelt es sich um eine der kürzesten und dennoch erfolgreichsten Kampagnen der russischsprachigen Ransomware-Bande Conti. In knapp über einem Monat kompromittierte das berüchtigte Ransomware-Kollektiv mehr als 40 Unternehmen weltweit. Der schnellste Angriff dauerte nur drei Tage, so der Group-IB-Bericht. In zwei Jahren haben die Ransomware-Betreiber über 850 Organisationen angegriffen, darunter Firmen, Regierungsbehörden und sogar ein ganzes Land. Die Forschungsarbeit von Group-IB befasst sich eingehend mit der Geschichte und den wichtigsten Meilensteinen einer der aggressivsten und bestorganisierten Ransomware-Operationen.
Doppelter Schlag
Conti gilt als eine der erfolgreichsten Ransomware-Gruppen. Die Existenz der Gang wurde erstmals im Februar 2020 bekannt, als Schaddateien mit der Endung „.сonti“ auf dem Radar der Group-IB-Forscher erschienen. Die ersten Testversionen der Malware stammen jedoch bereits aus dem November 2019. Seit 2020 dominiert Conti neben Maze und Egregor die Ransomware-Szene in Bezug auf die Anzahl der Unternehmen, deren Daten verschlüsselt wurden. Im Jahr 2020 veröffentlichte Conti die Daten von 173 Opfern auf einer eigenen dedizierten Leak-Seite (DLS). Ende 2021 zählte Conti zu den größten und aggressivsten Gruppen aufgrund der Veröffentlichung der Daten von 530 Unternehmen auf ihrer DLS. In nur vier Monaten im Jahr 2022 veröffentlichte die Gruppe darüber hinaus Daten von 156 Unternehmen, sodass innerhalb von Jahren insgesamt 859 Leakage-Opfer, darunter 47 deutsche Unternehmen, zu verzeichnen sind. Allein im April 2022 wurden weltweit die Daten von 46 Organisationen veröffentlicht. Es wird angenommen, dass die tatsächliche Anzahl der betroffenen Organisationen deutlich höher liegt.
Conti und ihre Anhänger greifen häufig und schnell an. Group-IB-Experten analysierten eine der rasantesten und produktivsten Kampagnen der Gruppe mit dem Codenamen „ARMattack“. Die Kampagne dauerte zwar nur etwa einen Monat (vom 17. November bis 20. Dezember 2021), erwies sich aber als äußerst effektiv. Die Angreifer kompromittierten in diesem Zeitraum mehr als 40 Organisationen weltweit. Die meisten Angriffe wurden in den USA durchgeführt (37 %), aber die Kampagne breitete sich auch in Europa aus – mit Opfern in Deutschland (3 %), der Schweiz (2 %), den Niederlanden, Spanien, Frankreich, der Tschechischen Republik, Schweden und Dänemark (jeweils 1 %). Die Gruppe griff auch Organisationen in den Vereinigten Arabischen Emiraten (2 %) und Indien (1 %) an.
In der Vergangenheit waren die fünf am häufigsten von Conti attackierten Branchen das verarbeitende Gewerbe (14 %), der Immobiliensektor (11,1 %), die Logistikbranche (8,2 %), die Dienstleistungsbranche (7,1 %) und der Handel (5,5 %). Nachdem sie sich Zugang zur Infrastruktur eines Unternehmens verschafft haben, exfiltrieren die Bedrohungsakteure bestimmte Dokumente (meist um festzustellen, mit welcher Organisation sie es zu tun haben) und suchen nach Dateien mit Passwörtern (sowohl im Klartext als auch verschlüsselt). Nachdem sich die Hacker alle erforderlichen Berechtigungen und Zugang zu allen gewünschten Geräten verschafft haben, installieren sie die Ransomware auf allen Geräten und führen sie aus. Laut dem Threat-Intelligence-Team von Group-IB wurde der schnellste Angriff der Bande in genau drei Tagen durchgeführt, vom ersten Zugriff bis zur eigentlichen Verschlüsselung der Daten.
Group-IB hat erstmals auch die „Arbeitszeiten“ von Conti analysiert. Höchstwahrscheinlich befinden sich die Gruppenmitglieder in verschiedenen Zeitzonen. Der Zeitplan zeugt jedoch von höchster Effizienz: Conti „arbeitet“ im Durchschnitt 14 Stunden pro Tag, 7 Tage die Woche. Keine Feiertage („Neujahrsfeiertage“ ausgenommen), keine Wochenenden. Die Gruppe beginnt ihre Arbeit gegen Mittag (GMT+3) und ihre Aktivität nimmt erst nach 21:00 Uhr ab.
Contis Angriffe sind geografisch weit gestreut, umfassen aber nicht Russland. Die Gruppe hält sich eindeutig an die unausgesprochene Regel unter russischsprachigen Cyberkriminellen: Greife keine russischen Unternehmen an. Die meisten Attacken erfolgen in den Vereinigten Staaten von Amerika (58,4 %), gefolgt von Kanada (7 %), dem Vereinigten Königreich (6,6 %), Deutschland (5,8 %), Frankreich (3,9 %) und Italien (3,1 %).
Ein weiterer Grund dafür, keine russischen Unternehmen ins Visier zu nehmen: Wichtige Conti-Mitglieder bezeichnen sich selbst als „Patrioten“. Diese Tatsache war die Ursache eines „internen Gruppenkonflikts“ im Februar 2022, der dazu führte, dass einige wertvolle Informationen von Conti online durchsickerten. Zu den veröffentlichten Daten gehörten private Chatprotokolle, die von ihnen genutzten Server, eine Liste der Opfer und Details zu Bitcoin-Wallets, in denen insgesamt über 65.000 BTC deponiert waren. Aus den geleakten Chats ging hervor, dass die Gruppe in ernsthaften finanziellen Schwierigkeiten steckte und ihr Chef von der Bildfläche verschwunden war. Dennoch waren die Mitglieder bereit, das Projekt nach zwei bis drei Monaten wieder aufzunehmen. Trotz des „Dolchstoßes“ und der zunehmenden Aufmerksamkeit der Strafverfolgungsbehörden wuchs der Appetit von Conti weiter an. Sie griffen nicht nur große Unternehmen, sondern auch ganze Länder an. Contis „Cyberkrieg“ gegen Costa Rica führte im April 2022 zur Ausrufung des Ausnahmezustands.