Conti-Ransomware trifft Nordamerika und Europa in Doppel-Erpressungsangriffen
Inhaltsverzeichnis:
Trotz der Tatsache, dass es sich um eine relativ neue Bedrohung in der Cybersicherheit handelt, ist Conti-Ransomware bereits zu einer großen Gefahr für Organisationen weltweit geworden. Seit ihrem Auftauchen im Mai 2020 haben Sicherheitsforscher mindestens 150 erfolgreiche Angriffe auf Einzelhandel, Fertigung, Baugewerbe und andere Industrien in Nordamerika und Westeuropa gemeldet. Bemerkenswert ist, dass Conti-Operatoren ein Doppel-Erpressungsschema gegen ihre Opfer anwenden und für die Entschlüsselung ein Lösegeld fordern und die gestohlenen Daten leaken, wenn nicht bezahlt wird.
Was ist Conti-Ransomware?
Laut der neuesten Analyse von Cyberseason ist Conti eine sehr offensive Malware, die in der Lage ist, sich automatisch zu verbreiten, schnelle Verschlüsselung, erfolgreiche Ausweichmethoden und laterale Bewegungen. Derzeit wird sie aktiv nach dem Ransomware-as-a-Service (RaaS)-Modell auf verschiedenen Darknet-Foren beworben. Darüber hinaus hat die Conti-Gang exklusive Partnerschaften mit TrickBot-Pflegeleitern geschlossen, die Ryuk-Ransomware zugunsten von Conti im Sommer 2020 ersetzt haben. Starke Promotion durch die TrickBot-Gang, schneller Update-Zyklus, gemeinsame Code-Beispiele und erweiterte Funktionen machen Conti-Ransomware zu einem vollwertigen Nachfolger von Ryuk in Bezug auf ihre bösartigen Fähigkeiten.
Seit Mai 2020 hat die Conti-Gang drei Versionen der Ransomware vorgebracht und jede nachfolgende Veröffentlichung noch berüchtigter gemacht. Die neueste Version erhielt:
- Verbesserte Verbreitungsfunktionen, die SMB nutzen, um mehrere Hosts im kompromittierten Netzwerk zu sperren;
- Bessere Verschlüsselungsroutine, die sich auf Multithreading-Technik stützt, um schnelle Datei-Verriegelung innerhalb von 32 gleichzeitigen Verschlüsselungs-Threads zu erreichen;
- Erweiterte Ausweichmethoden, die Anti-Analyse ermöglichen, indem Windows API-Aufrufe versteckt und ein dedizierter Python-Debugger genutzt wird.
Sicherheitsforscher von ClearSky offenbaren dass die Betreiber der Conti-Ransomware mit dem russland-affiliierten Hacking-Kollektiv bekannt als Wizard Spider verbunden sein könnten. Diese Bedrohungsgruppe wurde zuvor identifiziert, um die berüchtigte Ryuk-Ransomware zu pflegen, und die Analyse des Angriffs gegen ein ungenanntes kanadisches Unternehmen deutet darauf hin, dass dieselben Akteure hinter den Conti-Eindringlingen stehen.
Conti-Ransomware-Angriffe
Laut den Sicherheitsexperten wird Conti hauptsächlich mit Hilfe der bösartigen Infrastruktur von TrickBot bereitgestellt. Die Infektionsroutine folgt in den meisten Fällen demselben Muster. Opfer erhalten eine Phishing-E-Mail mit bösartigen Links in ihrem Textkörper. Im Falle eines Klicks leiten URLs Benutzer zur Google Drive weiter, die Bazar-Trojaner-Executables enthält. Einmal installiert, hinterlegt Bazar die Conti-Ransomware im kompromittierten Netzwerk.
Bisher hat die Conti-Gang weltweit erfolgreich mehr als 150 Unternehmen getroffen, von denen sich die meisten in Nordamerika befinden. Die Anzahl der Opfer wächst ständig, was sich in einer dedizierten Conti-Website widerspiegelt, die von den Ransomware-Betreuern gestartet wurde. Gegner nutzen diese Webseite in Doppel-Erpressungsschemata, um gestohlene Informationen zu leaken und ihre Opfer zur Zahlung des Lösegelds zu drängen. Zum Beispiel platzierten im Dezember 2020 Conti-Entwickler zwei ZIP-Archive, die vermutlich 3GB an abgezapften Daten enthalten, von Advantech IoT-Hersteller. Im selben Monat leakten Hacker Daten von Scottish Environment Protection Agency (SEPA) auf ihre Webseite. Die jüngsten Angriffe der berüchtigten Ransomware-Gruppe trafen mehrere US-Gesundheitseinrichtungen, darunter Leon Medical Centers und Nocona General Hospital. Conti-Gang leakte Hunderte von Patientenakten in einem Erpressungsversuch.
Conti-Erkennung
Einer der aktivsten Threat-Bounty-Entwickler bei SOC Prime, Osman Demir, hat kürzlich eine exklusive Sigma-Regel zur Erkennung von Conti-Angriffen veröffentlicht. Um Techniken und Verfahren zu identifizieren, die mit Conti-Ransomware-Infektionen verbunden sind und den Angriff zu verhindern, können Sie dedizierte SOC-Inhalte vom Threat Detection Marketplace über den folgenden Link herunterladen.
https://tdm.socprime.com/tdm/info/VCWrVq5RoBCl/tC-o8ncBR-lx4sDx09VQ/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, CrowdStrike
MITRE ATT&CK:
Taktiken: Einfluss, Privilegien-Eskalation, Abwehrevasion, Entdeckung
Techniken: Datenverschlüsselung für Einflussnahme (T1486), Prozessinjektion (T1055), Remote-System-Erkennung (T1018)
Sofern Sie keinen kostenpflichtigen Zugang zum Threat Detection Marketplace haben, kann diese exklusive Sigma-Regel freigeschaltet werden, indem Sie Ihre kostenlose Testversion im Rahmen eines Community-Abonnements aktivieren. Zusätzlich empfehlen wir, dass Sie auch auf die Community-Sigma-Regel achten, die Conti-Infektionen abdeckt: https://tdm.socprime.com/tdm/info/agjZV60tJUSw/7sZ6gHMBSh4W_EKGHbAy/#rule-context
Abonnieren Sie den Threat Detection Marketplace, die weltweit größte Detection as Code-Plattform, die über 100K+ Erkennungs- und Reaktionsregeln aggregiert und leicht in verschiedene Plattformen konvertierbar ist. Möchten Sie Teil der SOC Prime-Community von Cyberverteidigern werden und zur branchenführenden SOC-Inhaltsbibliothek beitragen? Treten Sie unserem Threat-Bounty-Programm für eine sicherere Zukunft bei!
