Meldung

Ransomware-Gruppe Conti formiert sich wohl neu

Mit 73 Ransomware-Angriffen war LockBit laut Malwarebytes die mit Abstand am weitesten verbreitete Ransomware im Mai 2022. Danach folgte Black Basta mit 22 Angriffen, ALPHV mit 15 Angriffen, Hive mit 14 Angriffen und Mindware mit 13 Angriffen. Conti landete im Mai hingegen nur auf dem sechsten Platz – Malwarebytes schrieb der Ransomware-Gruppe 12 Angriffe in seiner Analyse zu. Im Vormonat waren es noch 43 Angriffe.
Der Dienstleistungssektor war zuletzt besonders von Ransomware betroffen, während sich die Conti-Mitglieder neu organisieren.
Auffällig dabei ist laut Malwarebytes [1], dass drei der vier Gruppen, die Conti im Mai überholt haben, mit der aktuell diskutierten Auflösung von Conti in Verbindung stehen: Black Basta, ALPHV und Hive. Hive wurde beispielsweise als die Ransomware genannt, die beim Angriff auf den staatlichen Gesundheitsdienst in Costa Rica am 31. Mai verwendet wurde. Betrachtet man die Verteilung der Ransomware-Angriffe nach Ländern, war im Mai 2022 die USA das mit Abstand am stärksten betroffene Land: 75 Angriffe bringt Malwarebytes mit den Vereinigten Staaten in Verbindung. 13 Angriffe können Deutschland zugeschrieben werden, dicht gefolgt von UK mit 12 Angriffen.

Was die Industrien betrifft, war im Mai insbesondere der Dienstleistungssektor betroffen: 38 Angriffe entfallen laut Malwarebytes auf diese Branche. Auf dem zweiten Platz befindet sich die Technologiebranche mit 26 Angriffen, gefolgt von Logistik mit 16 Angriffen.

Conti: Ransomware-Gruppe erweckt wiederholt Aufmerksamkeit
Auch wenn Conti im Mai 2022 nur 12 Angriffe zugeschrieben wurden, erregte die Ransomware-Gruppe die größte Aufmerksamkeit im letzten Monat. Conti zählt zu den größten und gefährlichsten Ransomware-Gruppen. Sie war bereits in hunderte von Angriffen verwickelt. Aktuell kursieren Spekulationen, dass sich die Gruppe auflöst und sich ihre Mitglieder neu organisieren.

Das Malwarebytes Threat Intelligence Team konnte bestätigen, dass es eine interne Ankündigung für Conti-Mitglieder über die Auflösung gab und dass interne Chatserver der Gruppe nicht mehr erreichbar sind. Die Leak-Webseite der Gruppe ist hingegen noch in Betrieb und wird fast täglich mit Daten aktualisiert.

In jüngster Zeit hatte Conti tatsächlich einige Probleme zu bewältigen: Am 27. Februar begann eine Person, die Zugang zu internen Abläufen der Gruppe hatte, einen Datensatz zu veröffentlichen, der Quellcode, Dateien und zahlreiche interne Chat-Nachrichten enthielt. Dieser Vorgang wurde als "Conti-Leaks" bekannt. Kurze Zeit später begann eine andere Hackergruppe, den durchgesickerten Quellcode für Angriffe auf Ziele in Russland zu verwenden, und brach damit eine der unausgesprochenen Ransomware-Regeln.

Anfang Mai setzte das FBI schließlich ein Kopfgeld in Höhe von 10 Millionen Dollar auf die Conti-Gruppe aus. Am 8. Mai rief der Präsident von Costa Rica den nationalen Notstand für den öffentlichen Sektor des Landes aus – als Reaktion auf die anhaltenden Auswirkungen eines Conti-Ransomware-Angriffs im April. Zuvor hatte Conti 672 GByte an geklauten Daten der Regierung Costa Ricas im Darknet veröffentlicht.

Es wäre daher anzunehmen, dass Conti noch ganz gut dasteht. Laut einer Analyse von Advintel waren die Angriffe auf Costa Rica jedoch vermutlich eine absichtliche Showeinlage einer Organisation, die aktuell nur noch mit Notbesetzung arbeitet. Es scheint, dass Contis Entscheidung, der russischen Regierung im Februar nach dem Einmarsch in die Ukraine „volle Unterstützung“ zu gewähren, ein fataler Fehler gewesen sein könnte.

Indem sich die Gruppe dem russischen Staat anschloss, machte sie Lösegeldzahlungen zu einem potenziellen Sanktionsverstoß. Dies machte die Einnahmen der Gruppe zunichte. Laut Advintel gründete Conti infolgedessen Unterabteilungen – wie Black Basta – die sich nun etablieren sollen, bevor Conti verschwindet.
10.06.2022/dr

Tipps & Tools

Kostenlos freier surfen [1.07.2022]

Im Internet auch anonym unterwegs sein zu können, sollte für IT-Profis längst selbstverständlich sein. Dabei unterstützt Sie das Tool "Windscribe", das Sie das VPN des kanadischen Anbieters unter begrenztem Datenvolumen kostenfrei nutzen lässt und so sowohl Werbetracker unterbindet als auch Content-Sperren einfach umgeht. [mehr]

Sensible Infos sicher teilen [24.06.2022]

Zwar bietet die Verschlüsselung von beispielsweise per E-Mail oder Messanger übermittelten Informationen bereits ein ordentliches Datenschutzniveau. Doch für Mitteilungen mit besonders sensiblem Inhalt wie Finanzdetails oder Passwörter wünschen sich mancher Anwender eine weitere Absicherung. Für sie wartet das kostenfrei nutzbare Internetportal "Saltify" zusätzlich mit Phrasen-Passwort und einer Halbwertszeit von Daten auf. [mehr]

Fachartikel

Kritische Infrastrukturen im Cyberkrieg [29.06.2022]

Internationale Konflikte werden längst nicht mehr nur auf dem Land, zu Wasser oder in der Luft ausgetragen. Mit dem Cyberspace ist eine neue Dimension der Kriegsführung hinzugekommen. Dies zeigt sich auch aktuell: So geraten ukrainische Netzwerke ins Visier russischer Hacker, während private Akteure wie Anonymous Russland mit Hackbacks drohen. Unser Beitrag beleuchtet, wie sich die Zukunft der staatlichen Cybersicherheit vor diesem Hintergrund verändert, insbesondere wenn diese – etwa in der NATO – international organisiert ist. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen