Conti Group – ein Blick von Innen

Mit freundlicher Genehmigung von Deep Instinct. Lesen sie den original Blogbeitrag sowie die Sonderausgabe des Threat-Landscape-Reports: Conti Leaks hier.

Conti war eine der bemerkenswertesten und am besten dokumentierten Bedrohungsgruppen. Erfahren Sie, wer sie waren, wie sie begannen, ihre bemerkenswerten Erfolge und letztendlich, wie sie sich auflösten.

Ransomware ist ein großes Geschäft. Im Jahr 2023 kostete ein durchschnittlicher Datenverstoß Organisationen 4,45 Millionen US-Dollar, während ein durchschnittlicher Ransomware-Angriff 4,54 Millionen US-Dollar kostete. Für die Kriminellen gibt es Gewinne zu erzielen. Die erfolgreichsten Ransomware-Gruppen verfügen über ausgefeilte Betriebsstrukturen. Sie sind, wie seriöse Unternehmen mit Personalabteilung, Finanzabteilung und allen Support-Teams organisiert.

Eine der bemerkenswertesten und am besten dokumentierten Bedrohungsgruppen ist Conti, eine russisch-affiliierte Organisation, die sich in den späten 2010er Jahren formierte. Obwohl es sich nur um eine von vielen aktiven Bedrohungsgruppen handelte, war sie aufgrund ihrer Größe, ihres Erfolgs (einige Schätzungen beziffern ihre Einnahmen in Milliardenhöhe) und ihrer Struktur einzigartig.

Die mittlerweile berühmten Conti-Leaks im Februar 2022, die von unzufriedenen ukrainischen Partnern nach der russischen Invasion der Ukraine stammten, enthüllten ihre Organisationsstruktur und Techniken, was zu ihrem Untergang wesentlich beitrug.

Wie kam es zur Gründung der Conti-Gruppe und was machte sie so erfolgreich? In diesem Blog-Beitrag werfen wir einen kurzen Blick in das Innere von Conti – wer sie sind, wie sie begannen, ihre bemerkenswerten Erfolge und letztendlich, wie sie sich auflösten.

Wer war Conti?

Obwohl eine direkte Verbindung nie explizit hergestellt wurde, hatte Conti klare Verbindungen zu Russland. Gruppenmitglieder korrespondierten auf Russisch und unterstützten öffentlich russische geopolitische Interessen, insbesondere nach der ersten Invasion der Ukraine.

Laut dem US-Außenministerium war die Gruppe für mehr als tausend Angriffe auf die kritische Infrastruktur der USA und international verantwortlich. Sie richtete sich gegen Organisationen und Regierungen auf der ganzen Welt, darunter der taiwanesische Chip-Hersteller Advantech, die schottische Umweltschutzbehörde und die Bank Indonesia.

Erste Versionen von Conti wurden Ende 2019 beobachtet. Der erste öffentliche Bericht über Contis Ransomware erschien jedoch erst Mitte 2020. Die Gruppe entstand aus dem, was die meisten als natürliche Weiterentwicklung der „Big Game Hunting“-Methodik der “TrickBot-Gruppe” (auch bekannt als ITG23, WizardSpider, FIN12, GOLD BLACKBURN und DEV-0193) betrachten würden.

Contis Tools und Techniken

Die meisten Ransomware können als vollautomatisiert oder halbautomatisiert kategorisiert werden. Vollautomatisierte Ransomware führt die Infektion, seitliche Bewegung, Verschlüsselung und Exfiltration autonom durch. Im Gegensatz dazu erfordert halbautomatisierte Ransomware, dass ein Operator einige dieser Schritte mit verschiedenen Tools durchführt. Die Conti-Gruppe gehörte zu letzterer Kategorie.

Die Betreiber der Conti-Gruppe erlangten am häufigsten nach der Infektion Zugang zu den Netzwerken eines Opfers durch Malware, die von anderen Gruppen mit “freundschaftlichen” Beziehungen zu Conti betrieben wurde, wie TrickBot, BazarLoader, Emotet und IcedID.

Die Betreiber der Conti-Gruppe suchten nach und priorisierten Ziele mit erhöhten Privilegien, wie IT-Mitarbeiter, Systemadministratoren, Sicherheitsexperten oder Führungskräfte. Sobald ein Netzwerk ausreichend kompromittiert und der Zugriff erlangt war, konzentrierten sich die Conti-Betreiber auf die Datensammlung und -exfiltration. Nach der Exfiltration der Daten lieferte und führte die Gruppe ihre eigene Malware aus und verschlüsselte das Netzwerk des Opfers.

Lecks, die zum endgültigen Untergang von Conti führten

Als die Gruppe im Februar 2022 öffentlich ihre Unterstützung für Russland im Krieg gegen die Ukraine erklärte, begannen ihre Probleme. Nach dem Ausbruch der Feinseligkeiten zwischen den beiden Ländern veröffentlichten ehemalige ukrainische Partner die internen Chatprotokolle und den Quellcode von Conti.

Die veröffentlichten Dokumente beleuchteten den Alltag von Contis Operationen. Obwohl die meisten eine Ransomware-Bedrohungsgruppe nicht als vollständig operierendes Unternehmen betrachtet werden, zeigten die Conti-Leaks genau das Gegenteil. Denn laut Forschungen von Deep Instinct verfügte Conti über eine robuste Organisationsstruktur mit etwa 80-105 Mitarbeitern in den Bereichen Personalwesen, Finanzen, Reverse Engineering, Forschung und OSINT-Teams.

Das durchschnittliche monatliche Gehalt betrug 1.800 bis 2.500 US-Dollar. Die Gesamtausgaben beliefen sich auf 140.000 bis 165.000 US-Dollar pro Monat, einschließlich Transaktionsprovisionen und Plattformmanagement (Server, Proxy, Rekrutierung). Die Beweise zeigten sogar, dass Conti trotz massiver Einnahmen immer noch unter Liquiditätsproblemen, ähnlich wie bei jedem kleinen Technologie-Startup, litt.

Die Lecks enthüllten nicht nur Finanzen und Teamdynamik, sondern lieferten auch Einblicke in die “operative Philosophie” der Gruppe, einschließlich kodifizierter Mitarbeiterhandbücher und Arbeitsrichtlinien.

Druck, Verfolgung und Trennung

Trotz der Lecks orchestrierte Conti weiterhin “zahlreiche hochkarätige, wirkungsvolle Vorfälle” auch nach dem Beginn des Russland-Ukraine-Krieges. Zum Leidwesen von Conti aber, geriet das Unternehmen wegen der undichten Stellen, ins Visier von weltweiten Strafverfolgungsbehörden, die Jagd auf ihre Mitglieder machten.  

Als Wendepunkt wird der Angriff von Conti gegen die Regierung von Costa Rica im April 2022 betrachtet werden. Dieser Angriff, der etwa zwei Wochen nach einem Führungswechsel stattfand, legte die Regierung von Costa Rica lahm und zwang sie, den Ausnahmezustand auszurufen.

Am 11. August 2022 gab das US-Außenministerium bekannt, dass es eine Belohnung von 10 Millionen US-Dollar für Informationen ausgesetzt hat, die zur Identifizierung von fünf Schlüsselmitgliedern von Conti und ihrem Aufenthaltsort führen könnten.

Mit dem Leck interner Chats und des Quellcodes von Malware im Februar 2022, dem hochkarätigen Angriff auf die Regierung von Costa Rica und dem erheblichen “Kopfgeld” von Strafverfolgungsbehörden erklärten die Anführer der Gruppe, dass ihre “Marke” “toxisch” geworden sei und stellten ihre Operationen ein.

Die Lehren aus Conti

Obwohl Conti aufgelöst wurde, bleiben die böswilligen Akteure und Betreiber hinter der Gruppe weiterhin aktiv und nutzen immer ausgefeiltere Werkzeuge und Techniken, um verwundbare Ziele anzugreifen. Viele ehemalige Anführer und Partner der Gruppe gründeten unter neuen Namen neue Operationen, darunter HIVE, BlackBasta, BlackByte, AlphV/BlackCat, AvosLocker, Quantum und Zeon/Royal Ransomware.

Wenn sie Erfolg haben, werden ihre neu gegründeten Bedrohungsgruppen wachsen, wahrscheinlich mit Verbesserungen ihrer eigenen Sicherheitsrichtlinien, um zukünftige Lecks zu verhindern und unter dem Radar der Strafverfolgungsbehörden weltweit zu bleiben.

Solange Geld zu verdienen ist, werden Bedrohungsakteure weiterhin ausgefeilte operative Strukturen aufbauen, um ihre Gewinne zu maximieren. Konkurrierende Bedrohungsgruppen haben von Conti gelernt, wie man organisiert und in großem Maßstab mit bewährten Techniken und Methoden agiert. Die wichtigste Lektion ist klar: Der nächste Conti ist bereits da.

Möchten Sie mehr über Conti erfahren, einschließlich Mitgliederprofilen und detaillierten internen Chats? Lesen Sie in dem Bericht von Deep Instinct (Deep Instinct: Threat Landscape Report Special Edition: Conti Leaks) wie Conti entstand und seine Verbindungen zu russischen Regierung. Ihre Werkzeuge sowie Taktiken. Die wichtigsten Angriffe. Die Mitglieder der Conti-Bande und die Verfolgung durch das FBI.

Möchte Sie wissen, wie sie sich gegen Angriffe präventiv schützen können? Wir zeigen ihnen gerne, welche Möglichkeiten Sie haben. Kontaktieren Sie uns.