Conti
Conti ist ein ransomware-as-a-service (RaaS) Betrieb, der dafür bekannt ist, große, globale Organisationen und Regierungsbehörden anzusprechen.
Der Ursprung von Conti Ransomware
Conti begann als malware , das 2019 erstmals von der in Russland ansässigen Gruppe Wizard Spider eingesetzt wurde. Es wird vermutet, dass es der Nachfolger von Ryuk ransomware ist, der ab August 2018 mehr als 100 US-amerikanische und internationale Unternehmen angriff. Im Laufe der Zeit entwickelte sich Conti zu einem vollwertigen ransomware-as-a-service (RaaS)-Modell, das von zahlreichen Gruppen für ihre Angriffe genutzt wird. Es wurde gegen globale Unternehmen und Regierungsbehörden, vor allem in Nordamerika, eingesetzt, um sensible Dateien zu stehlen und Lösegeld in Millionenhöhe von einkommensstarken Organisationen zu fordern. Die Conti Ransomware Group wurde schließlich im Jahr 2022 aufgelöst, nachdem sie sich in kleinere Gruppen aufgeteilt hatte, aber ihre Methoden bestehen bis heute.
Quelle: OCD & MITRE ATT&CK
Ziele
Conti's Ziele
Zielländer von Conti ransomware
Conti hatte es auf Hunderte von Opfern von Irland bis Costa Rica abgesehen. Die erfolgreichsten Angriffe fanden jedoch in Nordamerika statt.
Quellen: Ransomware.live
Zielbranchen von Conti ransomware
Conti Ransomware wird vor allem für Unternehmen und Behörden, insbesondere in Nordamerika, eingesetzt.
Bildquelle: Sophos
Zielbranchen von Conti ransomware
Conti Ransomware wird vor allem für Unternehmen und Behörden, insbesondere in Nordamerika, eingesetzt.
Bildquelle: Sophos
Conti Ransomware's Opfer
Bis heute sind 351 Opfer der Conti Ransomware zum Opfer gefallen. Zu den bekanntesten Opfern gehören die irische Gesundheitsbehörde HSE (Health Service Executive), lokale Regierungsstellen und mehrere Privatunternehmen. Der Angriff auf die HSE im Jahr 2021 führte zu einer weitreichenden Unterbrechung der Gesundheitsdienste, was die erheblichen Auswirkungen von Conti auf den Betrieb verdeutlicht.
Quelle: Ransomware.live
Angriffsmethode
Conti ransomware Angriffsmethode
Conti verwendet verschiedene Techniken wie phishing E-Mails, Exploit-Kits, kompromittierte Websites und gestohlene RDP-Anmeldeinformationen (Remote Desktop Protocol), um ransomware zu verbreiten. Außerdem nutzt er Botnets wie BazarLoader und TrickBot, um in Zielsysteme einzudringen.
Mit Tools wie Cobalt Strikenutzen Conti-Betreiber Schwachstellen aus und verwenden Techniken wie Named Pipe Impersonation (GetSystem), um SYSTEM-Rechte zu erlangen.
Die Angreifer deaktivieren Windows Defender über Änderungen an den Gruppenrichtlinien und verwenden Verschleierungstechniken, um bösartige Aktivitäten zu verbergen.
Conti verwendet Tools wie Mimikatz und Cobalt Strike um Anmeldedaten auszulagern und Kerberos-Tickets zu stehlen (overpass-the-hash).
Bedrohungsakteure führen mit Tools wie nltest, net.exe und dsquery Befehle aus, um die Netzwerkumgebung abzubilden.
Seitliche Bewegungen erfolgen über SMB-, PsExec- und RDP-Verbindungen, die häufig über den ursprünglichen Stützpunkt vermittelt werden.
Die Website malware sucht nach sensiblen Dateien und Verzeichnissen, die dann auf die Server der Angreifer eingeschleust werden.
Die ransomware wird mit Tools wie Cobalt Strike im Arbeitsspeicher ausgeführt, verschlüsselt Dateien und macht Systeme unbrauchbar.
Die Daten werden mithilfe der Beaconing-Funktionen von Cobalt Strikeoder benutzerdefinierter Skripte über sichere Kanäle exfiltriert.
Conti verschlüsselt wichtige Dateien und hinterlässt eine Lösegeldforderung, um die gestohlenen Daten zu entschlüsseln und ihre Veröffentlichung zu verhindern.
Erster Zugang
Conti verwendet verschiedene Techniken wie phishing E-Mails, Exploit-Kits, kompromittierte Websites und gestohlene RDP-Anmeldeinformationen (Remote Desktop Protocol), um ransomware zu verbreiten. Außerdem nutzt er Botnets wie BazarLoader und TrickBot, um in Zielsysteme einzudringen.
Rechte-Eskalation
Mit Tools wie Cobalt Strikenutzen Conti-Betreiber Schwachstellen aus und verwenden Techniken wie Named Pipe Impersonation (GetSystem), um SYSTEM-Rechte zu erlangen.
Verteidigung Umgehung
Die Angreifer deaktivieren Windows Defender über Änderungen an den Gruppenrichtlinien und verwenden Verschleierungstechniken, um bösartige Aktivitäten zu verbergen.
Zugang zu Anmeldeinformationen
Conti verwendet Tools wie Mimikatz und Cobalt Strike um Anmeldedaten auszulagern und Kerberos-Tickets zu stehlen (overpass-the-hash).
Entdeckung
Bedrohungsakteure führen mit Tools wie nltest, net.exe und dsquery Befehle aus, um die Netzwerkumgebung abzubilden.
Seitliche Bewegung
Seitliche Bewegungen erfolgen über SMB-, PsExec- und RDP-Verbindungen, die häufig über den ursprünglichen Stützpunkt vermittelt werden.
Sammlung
Die Website malware sucht nach sensiblen Dateien und Verzeichnissen, die dann auf die Server der Angreifer eingeschleust werden.
Ausführung
Die ransomware wird mit Tools wie Cobalt Strike im Arbeitsspeicher ausgeführt, verschlüsselt Dateien und macht Systeme unbrauchbar.
Exfiltration
Die Daten werden mithilfe der Beaconing-Funktionen von Cobalt Strikeoder benutzerdefinierter Skripte über sichere Kanäle exfiltriert.
Auswirkungen
Conti verschlüsselt wichtige Dateien und hinterlässt eine Lösegeldforderung, um die gestohlenen Daten zu entschlüsseln und ihre Veröffentlichung zu verhindern.
MITRE ATT&CK Kartierung
Von Conti verwendete TTPs Ransomware
TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
TA0005: Defense Evasion
T1548
Abuse Elevation Control Mechanism
T1112
Modify Registry
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Plattform-Detektionen
Wie erkennt man ransomware Bedrohungen wie Conti mit Vectra AI
Tausende von Unternehmen verlassen sich auf leistungsstarke KI-gestützte Erkennungsfunktionen, um Angriffe zu erkennen und zu stoppen - bevor sie von einer Lösegeldforderung getroffen werden.
Häufig gestellte Fragen
Was ist Conti ransomware?
Conti ransomware ist ein ransomware-as-a-service-Betrieb, der im Jahr 2019 in die Szene der Cyberangriffe eintrat. Aufgrund der Geschwindigkeit, mit der er Daten verschlüsselt und sich auf andere Systeme ausbreitet, ist er extrem schädlich ransomware .
Wer steckt hinter Conti ransomware?
Conti wurde von der berüchtigten russischen ransomware Bande Wizard Spider im Jahr 2019 entwickelt und später von zahlreichen Bedrohungsakteuren als ransomware-as-a-service (RaaS) genutzt.
Wie funktioniert Conti ransomware ?
Conti ransomware wird über eine Vielzahl von Methoden wie Spear phishing und RDP-Angriffe verbreitet. Sobald er in das Zielsystem eingedrungen ist, nutzt er sowohl die Datenverschlüsselung als auch die Exfiltration für eine doppelte Erpressung - der Angreifer kann eine Zahlung sowohl für die Entschlüsselung als auch für die Verhinderung der Freigabe der gestohlenen Daten verlangen.
Welche Branchen sind das Ziel von Conti ransomware Angriffen?
Conti ist dafür bekannt, kritische Infrastrukturen und Systeme von Regierungsbehörden und großen Unternehmen aus verschiedenen Branchen wie dem Gesundheitswesen und der Fertigung ins Visier zu nehmen.
Auf welche Länder zielen die Angriffe von Conti ransomware ?
Die meisten Opfer von Conti ransomware sind in Kanada und den Vereinigten Staaten zu beklagen, aber auch im Vereinigten Königreich gab es bereits nennenswerte Angriffe.
Wie viele Organisationen sind von Conti Ransomware betroffen?
Mehr als 350 Agenturen und Organisationen fielen Conti Ransomware zum Opfer und zahlten zusammen Hunderte von Millionen an Lösegeld.
Was sind die Folgen eines Angriffs auf Conti ransomware ?
Die Opfer von Conti ransomware mussten Millionen von Dollar zahlen, um nicht nur Entschlüsselungsschlüssel zu erhalten, sondern auch um die Freigabe sensibler, gestohlener Daten zu verhindern.
Wie können Unternehmen Conti ransomware Angriffe erkennen und stoppen?
Zusätzlich zu präventiven Maßnahmen wie Multi-Faktor-Authentifizierung und Cybersicherheitsschulungen für Mitarbeiter können Unternehmen mit KI-gesteuerten Erkennungsfunktionen ransomware Angriffe frühzeitig erkennen und stoppen.
Wie verbreitet sich Conti ransomware ?
RaaS-Angriffe wie Conti nutzen malware , um Systeme zu infiltrieren, Dateien zu stehlen, Dateien auf Servern zu verschlüsseln und Lösegeldzahlungen sowohl für Entschlüsselungsschlüssel als auch zur Verhinderung der Freigabe der gestohlenen Daten zu verlangen.
Wie kann man sich am besten vor einem Angriff auf Conti ransomware schützen?
Der beste Weg, ransomware wie Conti zu verhindern, sind KI-gesteuerte Erkennungssysteme, die Angriffe in einem frühen Stadium erkennen.