Conti Leaks (Teil 2/2): Gezielte Angriffe. Erfolgreiche Lösegeldverhandlungen.

Conti setzt sein Budget gezielt ein, um sich auf Unternehmen mit hohen Umsätzen und mit bereits infizierten Systemen zu konzentrieren. Das macht die Cybergang besonders gefährlich, wie die, Anfang März veröffentlichten, Chatprotokolle beweisen. Wer Ziel eines Conti-Angriffs wird, kann meist nichts anderes tun, als zu zahlen.

Conti Leaks (Teil 2/2): Gezielte Angriffe. Erfolgreiche Lösegeldverhandlungen.

...

Conti Leaks (Teil 2/2): Gezielte Angriffe. Erfolgreiche Lösegeldverhandlungen.

Conti setzt sein Budget gezielt ein, um sich auf Unternehmen mit hohen Umsätzen und mit bereits infizierten Systemen zu konzentrieren. Das macht die Cybergang besonders gefährlich, wie die, Anfang März veröffentlichten, Chatprotokolle beweisen. Wer Ziel eines Conti-Angriffs wird, kann meist nichts anderes tun, als zu zahlen.

In Teil 1 dieser Blog-Serie ging es um das Geschäftsmodell und die Umsätze von Conti.
Hier in Teil 2 geht es darum, wie Conti Lösegeldzahlungen organisiert und abwickelt.
Es wird also noch mal spannend!

Conti ist mit Abstand die aggressivste und profitabelste Ransomware-Gruppe unserer Zeit. Nach einem erfolgreichen Angriff auf ein Unternehmen, erzielt die Gruppe in der Regel Lösegeldzahlungen in Höhe von mehreren Millionen Dollar. Diese werden meist auch gezahlt, da der Verlust der Daten und ihre Wiederherstellung – aber auch der Reputationsverlust – meist mit noch viel höheren Kosten einhergehen würden. Ziel der Conti-Angriffe sind häufig Unternehmen, mit einem Jahresumsatz von mehr als 100 Millionen US-Dollar. Schließlich gibt es hier viel zu holen.

Alleine im vergangenen Jahr soll Conti einen Umsatz von mindestens 180 Millionen US-Dollar erzielt haben.

Seit dem Leak, durch einen verärgerten ukrainischen Conti-Mitarbeiter, ist noch weitaus mehr zu Contis Einnahmen und dem Vorgehen der Gruppe bekannt geworden. Unter anderem, dass Conti monatlich mehrere tausend Dollar einplant, um eine Reihe von Sicherheits- und Antivirus-Tools zu bezahlen. Conti nutzt diese Tools für die Aufrechterhaltung der eigenen internen Sicherheit, aber auch zur Überprüfung, wie viele Produkte ihre Malware als bösartig erkennen.

OSINT für gezielte Angriffe

Conti plant viel Budget für Open-Source-Intelligence-Tools (OSINT) ein. So abonnieren die Cyberkriminellen etwa zahlreiche Dienste, die zeigen, wer oder was sich hinter einer bestimmten IP-Adresse verbirgt. Die Leaks zeigen auch: An einem gewöhnlichen Arbeitstag hat Conti Zugriff auf tausende von gehackten PCs. Die abonnierten Dienste helfen Conti dabei, sich ausschließlich auf infizierte Systeme zu konzentrieren, von denen angenommen wird, dass sie sich in großen Unternehmensnetzwerken befinden.

Zu den OSINT-Aktivitäten von Conti gehört auch der Missbrauch kommerzieller Dienste, die der Gruppe bei Lösegeldverhandlungen dazu verhelfen, die Oberhand zu gewinnen. Dabei legt Conti, laut der geleakten Aufzeichnungen, seine Lösegeldforderungen oft als Prozentsatz der Jahreseinnahmen der Opfer-Unternehmen fest.

Welche Dienste Conti außerdem nutzt, zeigt ein Chat-Protokoll von Oktober 2021. Die Konversation findet zwischen dem Conti-Mitarbeiter Bloodrush und dem Conti-Manager Bentley statt:

Bloodrush teilt seinem Vorgesetzten mit, dass die Gruppe dringend Abonnements für Crunchbase Pro und Zoominfo erwerben müsse, da die Dienste detaillierte Informationen über Millionen von Unternehmen liefern würden – darunter Informationen zu den Versicherungen der Unternehmen, aktuelle Einnahmenschätzungen sowie Kontaktinformationen von leitenden Angestellten und Vorstandsmitgliedern.

Im vergangenen Jahr investierte Conti 60.000 US-Dollar in eine gültige Lizenz für Cobalt Strike, ein kommerzielles Netzwerk-Penetrationstest- und Aufklärungstool, das nur an geprüfte Partner verkauft wird. Gestohlene oder unrechtmäßig erworbene Lizenzen werden jedoch häufig von cyberkriminellen Banden missbraucht, um den Grundstein für die Installation von Ransomware in einem Opfernetzwerk zu legen. Es scheint, als seien 30.000 US-Dollar dieser Investition zur Deckung der tatsächlichen Kosten einer Cobalt Strike-Lizenz verwendet worden, während die andere Hälfte an ein Unternehmen gezahlt wurde, das die Lizenz im Namen von Conti erworben hat.

Eine Cyber-Versicherung schützt nur zum Teil

Viele Unternehmen haben eine Cyber-Versicherung abgeschlossen, um die Verluste im Zusammenhang mit einem Ransomware-Angriff abzudecken. Die geleakten Chatprotokolle von Conti zeigen, dass dies Conti durchaus entgegenkommt: Zwar schienen die Versicherer die Möglichkeiten Contis einzuschränken, astronomische Lösegeldbeträge zu fordern. Aber auf der anderen Seite zahlten versicherte Opfer meist schneller die vereinbarte Lösegeldsumme aus.

Conti war ein früher Anwender der Ransomware-Best-Practice der „doppelten Erpressung“, bei der den angegriffenen Unternehmen zwei separate Lösegeldforderungen in Rechnung gestellt werden: Eine als Gegenleistung für einen digitalen Schlüssel, der zum Entsperren infizierter Systeme benötigt wird. Eine zweite, mit dem Versprechen, dass alle gestohlenen Daten nicht veröffentlicht oder verkauft und zudem vernichtet werden.

Der Ansatz der doppelten Erpressung ist besonders erfolgreich. Opfer, die nicht für einen Entschlüsselungsschlüssel bezahlen – etwa weil sie die Systeme aus Backups wiederherstellen können – müssen dennoch bezahlen, wenn sie sicherstellen wollen, dass die Daten nicht veröffentlicht werden.

Wie Sie Ihr Unternehmen schützen können

Die veröffentlichten Leaks zeigen, dass ein Unternehmen faktisch hilflos ist, wenn es einmal Opfer einer erfolgreichen Attacke durch Conti wird. In der Regel muss eine Lösegeldzahlung erfolgen, um wieder handlungs- und arbeitsfähig zu werden. Damit es erst gar nicht zu einem erfolgreichen Angriff kommt, ist der Aufbau einer durchdachten Cyber Security- sowie einer Awareness Strategie ein Muss für jedes Unternehmen! Wir von IT-Seal zeigen Ihnen, wie das möglich ist. Kontaktieren Sie uns und testen Sie unsere kostenlose Phishing-Demo!

 

Hier geht’s zu Teil 1 dieser Blog-Serie, in dem es um das Geschäftsmodell und die Umsätze von Conti ging

In Teil 1 dieser Blog-Serie ging es um das Geschäftsmodell und die Umsätze von Conti.
Hier in Teil 2 geht es darum, wie Conti Lösegeldzahlungen organisiert und abwickelt.
Es wird also noch mal spannend!

Conti ist mit Abstand die aggressivste und profitabelste Ransomware-Gruppe unserer Zeit. Nach einem erfolgreichen Angriff auf ein Unternehmen, erzielt die Gruppe in der Regel Lösegeldzahlungen in Höhe von mehreren Millionen Dollar. Diese werden meist auch gezahlt, da der Verlust der Daten und ihre Wiederherstellung – aber auch der Reputationsverlust – meist mit noch viel höheren Kosten einhergehen würden. Ziel der Conti-Angriffe sind häufig Unternehmen, mit einem Jahresumsatz von mehr als 100 Millionen US-Dollar. Schließlich gibt es hier viel zu holen.

Alleine im vergangenen Jahr soll Conti einen Umsatz von mindestens 180 Millionen US-Dollar erzielt haben.

Seit dem Leak, durch einen verärgerten ukrainischen Conti-Mitarbeiter, ist noch weitaus mehr zu Contis Einnahmen und dem Vorgehen der Gruppe bekannt geworden. Unter anderem, dass Conti monatlich mehrere tausend Dollar einplant, um eine Reihe von Sicherheits- und Antivirus-Tools zu bezahlen. Conti nutzt diese Tools für die Aufrechterhaltung der eigenen internen Sicherheit, aber auch zur Überprüfung, wie viele Produkte ihre Malware als bösartig erkennen.

OSINT für gezielte Angriffe

Conti plant viel Budget für Open-Source-Intelligence-Tools (OSINT) ein. So abonnieren die Cyberkriminellen etwa zahlreiche Dienste, die zeigen, wer oder was sich hinter einer bestimmten IP-Adresse verbirgt. Die Leaks zeigen auch: An einem gewöhnlichen Arbeitstag hat Conti Zugriff auf tausende von gehackten PCs. Die abonnierten Dienste helfen Conti dabei, sich ausschließlich auf infizierte Systeme zu konzentrieren, von denen angenommen wird, dass sie sich in großen Unternehmensnetzwerken befinden.

Zu den OSINT-Aktivitäten von Conti gehört auch der Missbrauch kommerzieller Dienste, die der Gruppe bei Lösegeldverhandlungen dazu verhelfen, die Oberhand zu gewinnen. Dabei legt Conti, laut der geleakten Aufzeichnungen, seine Lösegeldforderungen oft als Prozentsatz der Jahreseinnahmen der Opfer-Unternehmen fest.

Welche Dienste Conti außerdem nutzt, zeigt ein Chat-Protokoll von Oktober 2021. Die Konversation findet zwischen dem Conti-Mitarbeiter Bloodrush und dem Conti-Manager Bentley statt:

Bloodrush teilt seinem Vorgesetzten mit, dass die Gruppe dringend Abonnements für Crunchbase Pro und Zoominfo erwerben müsse, da die Dienste detaillierte Informationen über Millionen von Unternehmen liefern würden – darunter Informationen zu den Versicherungen der Unternehmen, aktuelle Einnahmenschätzungen sowie Kontaktinformationen von leitenden Angestellten und Vorstandsmitgliedern.

Im vergangenen Jahr investierte Conti 60.000 US-Dollar in eine gültige Lizenz für Cobalt Strike, ein kommerzielles Netzwerk-Penetrationstest- und Aufklärungstool, das nur an geprüfte Partner verkauft wird. Gestohlene oder unrechtmäßig erworbene Lizenzen werden jedoch häufig von cyberkriminellen Banden missbraucht, um den Grundstein für die Installation von Ransomware in einem Opfernetzwerk zu legen. Es scheint, als seien 30.000 US-Dollar dieser Investition zur Deckung der tatsächlichen Kosten einer Cobalt Strike-Lizenz verwendet worden, während die andere Hälfte an ein Unternehmen gezahlt wurde, das die Lizenz im Namen von Conti erworben hat.

Eine Cyber-Versicherung schützt nur zum Teil

Viele Unternehmen haben eine Cyber-Versicherung abgeschlossen, um die Verluste im Zusammenhang mit einem Ransomware-Angriff abzudecken. Die geleakten Chatprotokolle von Conti zeigen, dass dies Conti durchaus entgegenkommt: Zwar schienen die Versicherer die Möglichkeiten Contis einzuschränken, astronomische Lösegeldbeträge zu fordern. Aber auf der anderen Seite zahlten versicherte Opfer meist schneller die vereinbarte Lösegeldsumme aus.

Conti war ein früher Anwender der Ransomware-Best-Practice der „doppelten Erpressung“, bei der den angegriffenen Unternehmen zwei separate Lösegeldforderungen in Rechnung gestellt werden: Eine als Gegenleistung für einen digitalen Schlüssel, der zum Entsperren infizierter Systeme benötigt wird. Eine zweite, mit dem Versprechen, dass alle gestohlenen Daten nicht veröffentlicht oder verkauft und zudem vernichtet werden.

Der Ansatz der doppelten Erpressung ist besonders erfolgreich. Opfer, die nicht für einen Entschlüsselungsschlüssel bezahlen – etwa weil sie die Systeme aus Backups wiederherstellen können – müssen dennoch bezahlen, wenn sie sicherstellen wollen, dass die Daten nicht veröffentlicht werden.

Wie Sie Ihr Unternehmen schützen können

Die veröffentlichten Leaks zeigen, dass ein Unternehmen faktisch hilflos ist, wenn es einmal Opfer einer erfolgreichen Attacke durch Conti wird. In der Regel muss eine Lösegeldzahlung erfolgen, um wieder handlungs- und arbeitsfähig zu werden. Damit es erst gar nicht zu einem erfolgreichen Angriff kommt, ist der Aufbau einer durchdachten Cyber Security- sowie einer Awareness Strategie ein Muss für jedes Unternehmen! Wir von IT-Seal zeigen Ihnen, wie das möglich ist. Kontaktieren Sie uns und testen Sie unsere kostenlose Phishing-Demo!

 

Hier geht’s zu Teil 1 dieser Blog-Serie, in dem es um das Geschäftsmodell und die Umsätze von Conti ging

Erfahrungen & Bewertungen zu IT-Seal GmbH
IT-Seal bietet IT-Security made in Germany.