Ransomware
Was man aus den neuen Conti-Leaks lernen kann
Von Michael Scheffler, Country Manager DACH von Varonis Systems
Die russische Ransomware-Gruppe Conti hat kürzlich ein weiteres peinliches Leck erlitten: Ein ukrainisches Mitglied hat eine Fundgrube von internen Chat-Protokollen und Quellcode veröffentlicht. Nachdem bereits im August 2021 interne Handbücher und Tools von einem verärgerten Mitglied veröffentlicht wurden, erscheinen diese jüngsten Leaks als eine Reaktion auf die „offizielle Ankündigung der Gruppe, die russische Regierung voll zu unterstützen“.
Die Analyse der jüngsten Datenlecks und Chatprotokolle gibt Aufschluss darüber, wie Conti und wahrscheinlich auch andere ähnliche Ransomware-Gruppen ihre Operationen koordinieren und durchführen. Sicherheitsverantwortliche sollten sich hiermit auseinandersetzen und ihre Strategien gegebenenfalls entsprechend anpassen. Welche Auswirkungen dieser Leak auf Conti haben wird, ist derweil noch nicht abzusehen. Möglicherweise wird sich die Gruppe – wie in ähnlich gelagerten Fällen zuvor – (scheinbar) auflösen, für eine gewisse Zeit untertauchen, sich dann umbenennen und ihre Aktivitäten wieder aufnehmen.
Aufbau und Management
Zu den veröffentlichten Inhalten zählten unter anderem auch Diskussionen über „Gehälter“, die zudem die Größe und den Umfang der Ransomware-Operation, die interne Struktur und die Anzahl der Mitglieder zeigen. Demnach gibt es fünf verschiedene Teams: „Main“ (62 Personen), „Reverse“ (23 Personen), „New Coder“ (6 Personen), „Reverses“ (6 Personen, wobei der Unterschied zu „Reverse“ nicht ersichtlich ist) und „OSINT“ (4 Personen). Die Anzahl der Teammitglieder und die Gehaltszahlen (auf das Jahr gerechnet werden diese auf 2 Millionen US-Dollar geschätzt) zeigen deutlich, dass die Gruppe ein cyberkriminelles Unternehmen ist, welches einen erheblichen Aufwand betrieben hat, um neue Unternehmen zu identifizieren und zu kompromittieren, Daten zu stehlen und Opfer zu erpressen.
Aufwendige Infrastruktur
Neben der Bezahlung der Teammitglieder fallen bei Conti erhebliche laufende Kosten für die Instandhaltung der Backend-Infrastruktur an: Neben der Anmietung virtueller privater Server (VPS) unterhält die Gruppe höchstwahrscheinlich VPN-Abonnements, um eine Ebene der Anonymität bei der Durchführung ihrer Operationen aufrechtzuerhalten, sowie Abonnements oder Käufe von verschiedenen Sicherheitsprodukten. Dabei werden grundsätzlich Dienste bevorzugt, die Bitcoins akzeptieren.
Angreifer kaufen Sicherheitsprodukte, um in einer kontrollierten Umgebung Exploits für die von ihren Opfern verwendeten Sicherheitslösungen zu entwickeln, zu testen und zu üben. Im Fall von Conti handelt es sich dabei wahrscheinlich um verschiedene Antivirenpakete, die Carbon Black EDR-Lösung von VMware und SonicWall Secure Mobile Access (SMA) 410. Allem Anschein nach hatte Conti Schwierigkeiten, VMware Carbon Black direkt zu kaufen. Deshalb wurde hierfür ein „Vermittler“ eingesetzt, der die Lösung gegen eine Zahlung von 30.000 US-Dollar erworben hat.
Sammeln von Open-Source-Informationen
Cyberkriminelle führen in der Regel vor dem Angriff Aufklärungsmaßnahmen durch, um ihr Ziel zu analysieren und so die Erfolgsaussichten zu verbessern. Conti verfügt über ein spezielles Open-Source-Intelligence (OSINT)-Team, dessen Aufgabe es ist, Informationen über die anvisierten Unternehmen zu sammeln. Hierzu werden sowohl der Website des Ziels als gängige Online-Datenquellen genutzt. In den veröffentlichten Chat-Protokollen werden dabei ausdrücklich Kontakt-Datenbankdienste wie SignalHire und Zoominfo erwähnt, die dazu dienen, Namen und Kontaktinformationen zu potenziell wichtigen Personen zu sammeln. Diese Services werden in der Regel von Vertriebs- und Marketingteams genutzt, bieten aber auch Kriminellen wertvolle Dienste, wenn es darum geht, Ziele für Spear-Phishing-Kampagnen zu ermitteln und Kontakte für Social-Engineering-Angriffe zu benennen.
Ebenso kommen Shodan, eine Suchmaschine für mit dem Internet verbundene Geräte, sowie ein Premium-Abonnement von Spiderfoot zum Einsatz. Beide erlauben es dem OSINT-Team, die digitalen Ressourcen eines Ziels zu entdecken und Schwachstellen für die Ausnutzung zu ermitteln, wie z. B. offene Ports oder anfällige Technologien. Umgekehrt kann das OSINT-Team diese Dienste auch nutzen, um Ziele ausfindig zu machen, die für bestimmte Exploits anfällig sind, und diese an ihre Exploit-Teams weitergeben.
Darüber hinaus scheint Conti OSINT-Taktiken nicht nur im Vorfeld, sondern auch während des Angriffs anzuwenden. So wird gezielt nach internen finanziellen Informationen gesucht. Wirtschaftliche Daten eines Unternehmens können oft auch aus offenen Quellen bezogen werden, insbesondere wenn das Opfer börsennotiert ist. Werden beide Informationsquellen kombiniert, kann man recht präzise erkennen, wie viel ein Opfer in der Lage oder bereit ist zu bezahlen.
Erster Zugang
Ransomware-Gruppen nutzen häufig gestohlene Anmeldeinformationen, um sich Zugang zu exponierten Diensten zu verschaffen, seien es Remote-Desktop-Protokoll-Sessions (RDP) oder Web-Mailboxen, und nutzen Schwachstellen in Netzwerkinfrastrukturgeräten wie VPN-Gateways aus. Conti greift dabei auch auf die Dienste sogenannter „Initial Access Broker“ zurück, die als Dienstleistung diese Zugänge anbieten. Dabei erhält der Broker einen Anteil an den Lösegeldzahlungen. Den geleakten Dokumenten zufolge liegt dieser zumeist bei 25 Prozent und kann bei besonders engen Partnern auf 30 Prozent ansteigen. Da der Einsatz eines Brokers die Gewinne der Gruppe schmälert, versucht Conti auf diese zu verzichten und selbst Zugang zu erlangen. Dafür werden Informationen über Sicherheitslücken und Exploits intern ausgetauscht und Websites mit Sicherheitswarnungen aufmerksam verfolgt.
Datenexfiltration
Wie bei den meisten Big-Game-Ransomware-Gruppen, also solchen, die sich auf bestimmte ausgewählte Ziele konzentrieren, sucht und exfiltriert auch Conti nach dem Eindringen in das Netzwerk des Opfers vertrauliche und sensible Daten, um sie später für den Erpressungsprozess zu verwenden. Durch den Leak im August 2021 ist bekannt, dass Conti unter anderem das legitime Open-Source- Dateisynchronisierungstool „Rclone“ verwendet hat, um Daten zu entwenden.
Wie schon 2021 beobachtet, exfiltriert die Gruppe weiterhin Daten zum Cloud-Dateispeicherdienst Mega.nz und profitiert hierbei von kostenlosen Konten mit 20 GB Speicherplatz. Darüber hinaus nutzt Conti aber auch dedizierte VPS-Instanzen. Dies ist vor allem deshalb sinnvoll, da einige Unternehmen den Zugang zu Cloud-Speicherdiensten wie Mega.nz blockieren. Durch die Nutzung von VPS-Instanzen können die Angreifer dies umgehen und sich besser einer Entdeckung bei der Exfiltration entziehen.
Die Analyse einer mittlerweile vom Netz genommenen Exfiltrations-VPS-Instanz zeigt, welche Daten entwendet werden: So finden sich gängige Produktivitätsdateien wie Dokumente und Tabellenkalkulationen sowie Datenbank-, Bild- und CAD-Dateien. Außerdem enthielt sie große 7zip-Archive, die wahrscheinlich vor der Übertragung im Netzwerk des Opfers erstellt wurden, sowie Mailserverdaten in Form einer Microsoft Exchange EDB-Datei. Die gestohlenen Daten dienen dabei vor allem zwei Zwecken: zum einen als zusätzliches Druckmittel („Entweder zahlen Sie oder wir veröffentlichen die Daten!“), zum anderen, um mittels entsprechender Finanzdaten die Zahlungsfähigkeit des Opfers zu ermitteln.
Die neuen Conti-Leaks bieten uns einen seltenen Einblick ins Innere dieser Verbrecherorganisationen und bestätigen etliche Annahmen von Sicherheitsexperten. Sie bieten auch Aufschlüsse über die Psychologie und die interne Gruppendynamik. Vor allem aber zeigen sie uns die technische und taktische Vorgehensweise. Mit diesem Wissen sind Sicherheitsverantwortliche zumindest ein kleines Stück besser in der Lage, Angriffe zu erkennen und entsprechende Indicators of Compromise (IoC) zu identifizieren.