Die berüchtigte Ransomware-Gruppe Conti hat ihre Angriffe auf Unternehmen fortgesetzt, obwohl sie Anfang des Jahres selbst ein massives Datenleck hatte.
Conti, das einem in Russland ansässigen Bedrohungsakteur namens Gold Ulrick zugeschrieben wird, ist der zweithäufigste Malware-Stamm in der Ransomware-Landschaft und war in den drei Monaten zwischen Oktober und Dezember 2021 für 19 % aller Angriffe verantwortlich.
Conti ist neben LockBit 2.0, PYSA und Hive eine der produktivsten Ransomware-Gruppen des letzten Jahres und hat die Netzwerke von Krankenhäusern, Unternehmen und Regierungsbehörden blockiert, während sie Lösegeld für die Weitergabe des Entschlüsselungsschlüssels als Teil ihres „Name-and-Shame“-Schemas erhalten.
Nachdem sich das Cyberkriminelle Kartell im Februar wegen des Einmarsches in die Ukraine auf die Seite Russlands gestellt hatte, veröffentlichte ein anonymer ukrainischer Sicherheitsforscher unter dem Twitter-Namen ContiLeaks den Quellcode sowie private Gespräche zwischen den Mitgliedern und gewährte damit einen noch nie dagewesenen Einblick in die Arbeitsweise der Gruppe.
„Die Chats offenbaren ein ausgereiftes Cybercrime-Ökosystem mit mehreren Bedrohungsgruppen, die häufig zusammenarbeiten und sich gegenseitig unterstützen“, so Secureworks in einem im März veröffentlichten Bericht. Zu den Gruppen gehören Gold Blackburn (TrickBot und Diavol), Gold Crestwood (Emotet), Gold Mystic (LockBit) und Gold Swathmore (IcedID).
Die technische Überwachung der Emotet-Kampagnen durch Intel 471 zwischen dem 25. Dezember 2021 und dem 25. März 2022 ergab, dass mehr als ein Dutzend Conti-Ransomware-Ziele in Wirklichkeit Opfer von Emotet-Malspam-Angriffen waren, was zeigt, wie eng die beiden Operationen miteinander verwoben sind.
Das zeigt, wie sehr die beiden Operationen miteinander verwoben sind. Dennoch scheinen die Lecks die Aktivitäten des Syndikats nicht zu bremsen, denn die Zahl der Conti-Opfer stieg im März auf den zweithöchsten Monatswert seit Januar 2021, wie das in Atlanta ansässige Cybersecurity-Unternehmen mitteilte.
Außerdem soll die Gruppe in den ersten vier Tagen des Aprils 11 Opfer hinzugewonnen haben, und das, obwohl die Malware-Autoren als Reaktion auf die Veröffentlichung ihres Arsenals beharrlich an der „Weiterentwicklung ihrer Ransomware, Einbruchsmethoden und Ansätze“ gearbeitet haben.
Die Ergebnisse wurden auch von der NCC Group Ende letzten Monats bestätigt, die feststellte, dass „die Conti-Betreiber ihr Geschäft wie gewohnt fortsetzen, indem sie fortfahren, Netzwerke zu kompromittieren, Daten zu exfiltrieren und schließlich ihre Ransomware zu verteilen“.
Ein Netz von Verbindungen zwischen Conti und Karakurt
Diese Entwicklung kommt zustande, da finanzielle und taktische Überschneidungen zwischen Conti und der Datenerpressergruppe Karakurt auf der Grundlage von Informationen, die während der ContiLeaks-Saga veröffentlicht wurden, aufgedeckt wurden, was eine Erweiterung des Ransomware-as-a-Service (RaaS) Geschäftsmodells zu sein scheint.
Die Erkenntnisse sind nicht zuletzt deshalb von Bedeutung, weil sie das immer größer werdende Netz von Verbindungen im Ökosystem der Cyberkriminalität aufzeigen und Contis aggressive Expansions- und Verbreitungstaktiken wie die Wiederbelebung von Emotet und die Eingliederung des TrickBot-Botnetzes in das Ransomware-Kartell unterstreichen.
Eine Analyse von Blockchain-Transaktionen im Zusammenhang mit Kryptowährungsadressen, die zu Karakurt gehören, hat gezeigt, dass „Karakurt-Wallets beträchtliche Summen von Kryptowährung an Conti-Wallets senden“, so eine gemeinsame Untersuchung von Forschern von Arctic Wolf und Chainalysis.
Eine „Diavol-Erpresseradresse wird von einer Wallet gehostet, die Adressen enthält, die bei Conti-Ransomware-Angriffen verwendet werden“, was darauf hindeutet, dass Diavol von denselben Akteuren eingesetzt wird, die auch hinter Conti und Karakurt stecken.
Eine weitere forensische Untersuchung eines ungenannten Kunden, der nach einer Conti-Ransomware-Infektion von einer weiteren Welle von Erpressungsangriffen betroffen war, ergab, dass die zweite Gruppe dieselbe Cobalt Strike-Backdoor verwendete, die Conti hinterlassen hatte.
„Es bleibt abzuwarten, ob Karakurt ein ausgeklügeltes Nebengeschäft von Conti- und Diavol-Akteuren ist oder ob es sich um ein von der Gesamtorganisation sanktioniertes Unternehmen handelt“, so Arctic Wolf.
„Diese Verbindung erklärt vielleicht, warum Karakurt überlebt und gedeiht, obwohl einige seiner reinen Exfiltrationskonkurrenten aussterben“, so die Forscher und fügten hinzu: „Vielleicht war dies aber auch der Probelauf einer strategischen Diversifizierung, die von der Hauptgruppe genehmigt wurde.“