Cybergang Conti geleakt (Teil 1/2): Das Geschäftsmodell gleicht einer privatwirtschaftlich-organisierten Firma

Kürzlich sind einige interne Protokolle der russischen Cybergang-Gruppe Conti geleakt worden. Aus den Leaks lassen sich interessante Einsichten ableiten: wie Conti organisiert ist, wie die Gruppe genau vorgeht, wie ihr Geschäftsmodell aussieht und welche Umsätze das Unternehmen macht. In Teil 1 dieser Blog-Serie wird es um das Geschäftsmodell und die Umsätze von Conti gehen.

Cybergang Conti geleakt (Teil 1/2): Das Geschäftsmodell gleicht einer privatwirtschaftlich-organisierten Firma

...

Cybergang Conti geleakt (Teil 1/2): Das Geschäftsmodell gleicht einer privatwirtschaftlich-organisierten Firma

Kürzlich sind einige interne Protokolle der russischen Cybergang-Gruppe Conti geleakt worden. Aus den Leaks lassen sich interessante Einsichten ableiten: wie Conti organisiert ist, wie die Gruppe genau vorgeht, wie ihr Geschäftsmodell aussieht und welche Umsätze das Unternehmen macht. In Teil 1 dieser Blog-Serie wird es um das Geschäftsmodell und die Umsätze von Conti gehen.

Die Conti-Gruppe ist eine international ausgerichtete Organisation, die zu den gefährlichsten und einflussreichsten in diesem Bereich zählt. Im Jahr 2021 allein haben sie durch Erpressung rund 180 Millionen Dollar erlangt. Nachdem Russland in die Ukraine einmarschiert war hat Conti sich offen auf die Seite der russischen Regierung gestellt. Das hat nicht jedem Angestellten der Gruppe gefallen. So beschloss ein ukrainischer Conti-Mitarbeiter Anfang März, interne Daten des Unternehmens zu leaken und publizierte alte Chat-Protokolle der Gruppe. Hieraus lassen sich Insights zu den Servern, den Vorgehensweisen und dem Aufbau der Unternehmung Conti ableiten. Die Analysen der Experten zeichnen ein deutliches Bild zur Arbeitsweise und zur Unternehmenskultur.

Eine reale Bedrohungslage und ein echtes Geschäftsmodell

Der Leak zeigt: Conti ist kein Haufen unorganisierter Cyberkrimineller, sondern eine Unternehmung, die – wie ein legales Unternehmen – Aufträge annimmt und durchführt. Es wird deutlich, dass die Angreifer im World Wide Web ihre Geschäftsmodelle professionalisiert haben. Sie operieren inzwischen wie privatwirtschaftlich-organisierte Firmen.

Beispiel Conti: Die Cybergang bietet Ransomware-as-a-Service an. Affiliate Partner des Unternehmens geben an, wer angegriffen werden soll und Conti kümmert sich im Anschluss um die Delivery. Sie stellt den Partnern die Infrastruktur für einen gezielten Angriff, liefert Anleitungen, Toolkits und mehr, damit man in die Netzwerke der Opfer eindringen kann. Zudem kümmert sich Conti um die Verhandlungen des Lösegeldes sowie die Zahlungsabwicklung. Im Gegenzug behält Conti einen Anteil der Lösegeldzahlungen ein.

Storage-Server geben noch mehr Insights

Das verärgerte Mitglied der Conti-Gruppe, das für den Leak verantwortlich ist, scheint sich derzeit in der Ukraine zu befinden und Zugang zu Storage-Servern von Conti zu haben. Auf diesen befinden sich unter anderem die Daten vergangener Angriffsopfer. Die Laufwerksinhalte wurden mittlerweile durch Conti vernichtet – einige Insights konnten jedoch noch gerettet werden.
Deutlich wird:

  • die Conti-Mitglieder kommunizieren anonym über das TOR-Netzwerk
  • die Conti-Gang nutzt Testzugänge von Sophos und CarbonBlack
  • Conti hat eine zentrale Bitcoin-Adresse

Aktuell sollen sich auf dem Bitcoin-Konto von Conti rund 65.500 Bitcoins befinden. Diese sind derzeit rund 2,5 Milliarden Euro wert, was für ein äußerst lukratives Geschäftsmodell spricht.

Der Leak ist für die Öffentlichkeit eine gute Sache. Die Informationen helfen Behörden der Strafverfolgung aber auch IT-Sicherheitsunternehmen wie IT-Seal dabei, durch die Analyse der Taktiken, Techniken und Vorgehensweisen entsprechende Präventionsmaßnahmen einzuleiten und einen Befall mit Conti-Malware frühzeitig zu erkennen.

Schließlich stehen auf der anderen Seite die Opfer von Conti, die kaum auf solche Gegner vorbereitet sind. Für Unternehmen aller Größen ist es deshalb wichtig, nicht nur kurzfristig eine gesteigerte Abwehrfähigkeit gegen Cyberangriffe aufzubauen, sondern die Entwicklung einer nachhaltigen Sicherheitskultur voranzutreiben. Denn eines ist klar: Je schwieriger wir es den Cybergangs machen technische Schwachstellen auszunutzen, um so häufiger werden ihre Attacken auf menschliche Schwachstellen abzielen.

In Teil 2 geht es darum, wie Conti beliebte kommerzielle Sicherheitsdienste missbraucht, um die Sicherheit der Angriffsziele zu untergraben.

Schützen Sie Ihr Unternehmen vor Cyberangriffen von kriminellen Gruppen wie Conti! Testen Sie unsere kostenlose Phishing Demo!

 

Hier geht’s zu Teil 2, wo beschrieben wird, wie Conti gezielte Angriffe macht und Lösegeldzahlungen organisiert und abwickelt. Es wird also noch mal spannend!

Erfahrungen & Bewertungen zu IT-Seal GmbH
IT-Seal bietet IT-Security made in Germany.