{"id":58743,"date":"2021-12-28T10:45:01","date_gmt":"2021-12-28T09:45:01","guid":{"rendered":"https:\/\/www.pcspezialist.de\/blog\/?p=58743"},"modified":"2024-11-05T08:05:56","modified_gmt":"2024-11-05T07:05:56","slug":"conti-ransomware","status":"publish","type":"post","link":"https:\/\/pcspezialist.de\/blog\/2021\/12\/28\/conti-ransomware\/","title":{"rendered":"Conti-Ransomware ## Conti-Erpressergruppe nutzt Sicherheitsl\u00fccke Log4j aus"},"content":{"rendered":"

Aufgrund der Sicherheitsl\u00fccke in Log4j herrscht weltweit h\u00f6chste Alarmbereitschaft. Und das nicht ohne Grund: Denn selten haben sich Cyberangriffe vergleichbar geh\u00e4uft. Aktuell verbreitet sich vor allem die sogenannte Conti-Ransomware rasend schnell und verursacht gro\u00dfen Schaden.<\/strong><\/p>\n

Was es mit der Conti-Erpressergruppe und ihrer Ransomware auf sich hat und wie Sie sich sch\u00fctzen, erfahren Sie hier.<\/p>\n

<\/p>\n

\n

Unser Beitrag \u00fcber die Conti-Ransomware im \u00dcberblick: <\/strong><\/p>\n

    \n
  1. Conti-Ransomware nutzt Sicherheitsl\u00fccke Log4Shell<\/a><\/li>\n
  2. Was ist die Conti-Ransomware?<\/a>\n
      \n
    • Erfolge der Conti-Ransomware<\/a><\/li>\n<\/ul>\n<\/li>\n
    • Was ist die Conti-Gruppe?<\/a>\n
        \n
      • Ver\u00f6ffentlichung von Daten<\/a><\/li>\n<\/ul>\n<\/li>\n
      • Schutz vor Conti-Ransomware<\/a><\/li>\n
      • Update vom 29.06.2022: Mehr als 850 Unternehmen angegriffen<\/a><\/li>\n<\/ol>\n<\/div>\n

        Conti-Ransomware nutzt Sicherheitsl\u00fccke Log4Shell<\/h2>\n

        F\u00fcr Cyberkriminelle<\/a> ist die Schwachstelle in der Java-Bibliothek\u00a0Log4j (Log4Shell)<\/a> ein gefundenes Fressen. Die ersten Angriffe wurden unmittelbar\u00a0 nach dem Bekanntwerden der Sicherheitsl\u00fccke durchgef\u00fchrt. Heute sind laut Presseinformationen aber auch erste Angriffe von Gro\u00dfkriminellen wie Conti verzeichnet worden, die auf die aktuelle Sicherheitsl\u00fccke<\/a> in Log4j abzielen.<\/p>\n

        Conti<\/strong> ist vor allem f\u00fcr die gleichnamige Ransomware bzw. den Erpressertrojaner<\/a> Conti bekannt. Die Erpressergruppe f\u00fchrt dabei vor allem Erpressungsangriffe auf Anfrage<\/strong> (Ransomware-as-a-Service<\/a>) durch. Heute geh\u00f6rt sie dabei zu den gef\u00e4hrlichsten und erfolgreichsten cyberkriminellen Organisationen der Welt. Die derzeitigen Log4j-Angriffe sind dabei nicht die ersten, in denen Conti eine bekannte Sicherheitsl\u00fccke gekonnt ausnutzt. Die Erpressergruppe war vor einem Jahr in der Presse, weil sie den ProxyShell-Exploit in Exchange-Servern<\/a> ausnutzten. Damals hatte Conti innerhalb von 48 Stunden rund ein TB Daten herausgeschleust.<\/p>\n

        \"Conti-Erpressungstrojaner\"

        Der Conti-Erpressungstrojaner nimmt Ihre Daten als Geisel und gibt sie erst gegen eine Zahlung wieder frei. Bild: Pexels\/TimaMiroshnichenko<\/p><\/div>\n

        Was ist die Conti-Ransomware?<\/h2>\n

        Die Conti-Ransomware<\/strong> tauchte im Mai 2020 erstmals auf. Sie gilt als weiterentwickelter Nachfolger der Ryuk-Ransomware<\/strong>, die wahrscheinlich seit dem Jahr 2018 vom russischen Bedrohungsakteur Wizard Spider entwickelt und verbreitet wurde. W\u00e4hrend Ryuk jedoch auf klar wirtschaftspolitische Angriffe setzte, ist die Conti-Ransomware vor allem auf Auftragsangriffe<\/strong> spezialisiert.<\/p>\n

        Nach einem erfolgreich durchgef\u00fchrten Conti-Ransomware-Angriff<\/strong> erscheint ein Text-Dokument mit dem Namen \u201eCONTI_README.txt\u201c<\/strong> auf dem Desktop des betroffenen Rechners, in dem sich die Kontaktdaten der Conti-Erpresse sowie eine Information zur Verschl\u00fcsselung finden. Meistens sind die pers\u00f6nlichen Daten, Fotos und wichtige Dokumente mit einer unbekannten Hashfunktion verschl\u00fcsselt. Die Dateinamen \u00e4ndern sich im Zuge der Verschl\u00fcsselung und an die Dateiendung wird ein .CONTI angeh\u00e4ngt. Aus .docx oder .jpg wird beispielsweise .docx.CONTI und jpg.CONTI. Das \u00d6ffnen der Dateien ist nicht mehr m\u00f6glich.<\/p>\n

        Erfolge der Conti-Ransomware<\/h3>\n

        Die L\u00f6segeldforderungen des Erpressertrojaners<\/strong> reichen bekannterma\u00dfen bis zu 25 Millionen US-Dollar und sind auf die Gr\u00f6\u00dfe der Opfer zugeschnitten. Und dieses Gesch\u00e4ftsmodell ist erschreckend erfolgreich:<\/p>\n

        Im ersten Quartal 2021 war nach Errechnungen von Coveware<\/a> die Conti-Ransomware bereits der zweiterfolgreichste Erpressertrojaner weltweit. Und die Entwicklung hielt an, denn laut Informationen der US-Beh\u00f6rde Financial Crimes Enforcement Network erbeuteten die Conti-Erpresser in der ersten Jahresh\u00e4lfte 2021 ein L\u00f6segeld von circa zw\u00f6lf Millionen US-Dollar.<\/p>\n

        Die weltweit meisten Ransomware-Angriffe wurden im Jahr 2021 von REvil<\/a> und den Conti-Erpressern durchgef\u00fchrt. Solche aktuellen Erkenntnisse zeigen, dass sich Cybercrime<\/a> zunehmend professionalisiert und in den H\u00e4nden von hochgradig vernetzten Hackergruppen liegt.<\/p>\n

        \"Conti-Gruppe\"

        Die Conti-Gruppe geh\u00f6rt zu den bekanntesten cyberkriminellen Zusammenschl\u00fcssen. Bild: Pexels\/MikhailNilov<\/p><\/div>\n

        Was ist die Conti-Gruppe?<\/h2>\n

        Es wird davon ausgegangen, dass es sich bei Mitgliedern von Wizard Spider um die Conti-Kerngruppe<\/strong> handelt. Nicht nur die Entwickler der Conti-Ransomware von Wizard Spider sind Teil der Conti-Gruppe, sondern auch die gepr\u00fcften Erpresser, die die Schadsoftware auf Mietbasis nutzen. Die Gruppe gilt als hochgradig elit\u00e4r und professionell.<\/p>\n

        Das Besondere bei Conti als Ransomware-as-a-Service ist die ausf\u00fchrliche und einfach verst\u00e4ndliche Anleitung<\/strong>, die zur Conti-Ransomware mitgeliefert wird. Sie wurde im Sommer 2021 von einem unzufriedenen Conti-Erpresser geleaked<\/strong>. Bestandteil des Leaks waren Informationen \u00fcber die Ransomware und die Vorgehensweise von Conti. Auch ver\u00f6ffentlichte er ein Archiv mit \u00fcber 100 MB an Tools und Dokumenten. Darunter befinden sich Skripte, die Antivirenl\u00f6sungen wie den Windows Defender auf Zielsystemen deaktivieren lassen.<\/p>\n

        Ver\u00f6ffentlichung von Daten<\/h3>\n

        Die Conti-Gruppe ist daf\u00fcr bekannt geworden, dass sie ihren Opfern nahelegt, keine Details zu L\u00f6segeld-Verhandlungen<\/strong> zu ver\u00f6ffentlichen. Die erbeuteten Daten ihrer Opfer w\u00fcrden ver\u00f6ffentlicht werden, sollten Screenshots von Verhandlungen an Journalisten oder IT-Spezialisten herangetragen werden. Das machte die Conti-Gruppe auch bereits wahr.<\/p>\n

        Der japanische Elektronikkonzern JVCKenwood<\/strong>, der Details zur Verhandlung mit Conti ver\u00f6ffentlichte, musste daran glauben. Seine Unternehmensdaten wurden auf der Conti-Leak-Site im Tor-Netzwerk ver\u00f6ffentlicht. Mit einem \u00f6ffentlichen Statement ging die Conti-Gruppe auf diesen Vorfall ein und gab in Form eines \u00f6ffentlichen Statements bekannt, dass Handlungen gegen die Gruppe Konsequenzen haben:<\/p>\n

        \n

        Conti ransomware group has sent out a threatening message to journalists. pic.twitter.com\/uHzZ3Njjqb<\/a><\/p>\n

        \u2014 vx-underground (@vxunderground) October 2, 2021<\/a><\/p><\/blockquote>\n