Conti: Hacker erpressen Regierung Costa Ricas

Palo Alto Networks bewertet Conti als kommerzielles Unternehmen mit rücksichtslosen Profitabsichten

[datensicherheit.de, 20.05.2022] Laut Medienberichten soll es in den vergangenen Tagen zu fortlaufenden Ransomware-Attacken der cyber-kriminellen Hacker-Gruppe „Conti“ auf die Regierung Costa Ricas gekommen sein. Alex Hinchliffe, „Threat Intelligence Analyst“ bei der „Unit42“ von Palo Alto Networks, geht in seiner aktuellen Stellungnahme auf diesen Vorfall ein:

Foto: Palo Alto Networks

Alex Hinchliffe: Wir haben bereits gesehen, wie Conti Angriffe auf Krankenhäuser, Rettungsdienste und Strafverfolgungsbehörden durchführte…

Conti gilt seit 2020 als eine der rücksichtslosesten Ransomware-Gangs

„Dass die Hacker-Gruppe ,Conti‘ eine ganze Regierung ins Visier genommen hat, ist nun nicht unbedingt eine Überraschung. Wir haben bereits gesehen, wie ,Conti‘ Angriffe auf Krankenhäuser, Rettungsdienste und Strafverfolgungsbehörden durchführte und dabei doppelte Erpressungstechniken einsetzte, um Opfer dazu zu bringen, ein Lösegeld zu zahlen“, berichtet Hinchliffe.

„Conti“ habe sich seit ihrer Entstehung im Jahr 2020 immer als eine der rücksichtslosesten Ransomware-Gangs hervorgetan. Sie operierten ohne einen „Ehrenkodex“, den einige andere Hacker-Gruppen zu beachten behaupteten, wenn es darum geht, lebenswichtige oder besonders gefährdete Opfer anzugreifen.

Geld offenbar der Conti-Motivationsfaktor für solche Angriffe

Geld sei der Motivationsfaktor für solche Angriffe. Hinchliffe: „Sie haben ihre Forderungen schnell und deutlich erhöht und belaufen sich im Jahresdurchschnitt auf rund 1,78 Millionen US-Dollar – ihre höchste anfängliche Zahlungsanforderung betrug drei Millionen US-Dollar.“

In diesem Fall hätten die Angreifer 20 Millionen US-Dollar gefordert – eine Verdoppelung der vorherigen Forderung von zehn Millionen US-Dollar. „Anscheinend bot ,Conti‘ an, das Lösegeld zu verringern, und sagte, wenn die Regierung zahlt, werden sie aufhören, private Institutionen in der Region anzugreifen.“

Conti als organisiertes kriminelles Unternehmen mit geschäftsähnlichen Strukturen

Hinchliffe führt weiter aus: „In der Vergangenheit haben wir einen Anstieg der Techniken der Doppelten Erpressung gesehen – das Herausschleusen von Daten, um sie als Druckmittel gegen die Opferorganisation zu verwenden, um Gelder zu erpressen – und so etwas wie das, was hier gemeldet wird, könnte eine weitere Wendung sein, um Angriffe gegen andere anzudrohen, es sei denn, das Opfer zahlt.“ Dies spiegele wider, wie sehr „Conti“ als organisiertes kriminelles Unternehmen mit geschäftsähnlichen Strukturen agiere. Diese seien aufgedeckt worden, als „Conti“ einen eigenen Leak erlitten habe, „der sehr gut organisierte Teamstrukturen und definierte Rollen offenbarte“.

Typischerweise arbeite „Conti“ sehr opportunistisch und nutze bekannte Schwachstellen aus, um in Systeme einzudringen und sich seitlich über interne Geräte zu bewegen. „Wir wissen bereits, dass sie ,CVE-2021-34473‘, ,CVE-2021-34523‘ und ,CVE-2021-31207‘ (,ProxyShell‘) bei ihren Ransomware-Angriffen verwendet haben und dann im Dezember 2021 erfolgreich mit der Ausnutzung von ,CVE-2021-44228‘, bekannt als ,Log4Shell‘, begonnen haben”, ergänzt Hinchliffe abschließend.

Weitere Informationen zum Thema:

golem.de, Lennart Mühlenmeier, 10.05.2022
Conti-Gang: Costa Rica ruft wegen Ransomware den Notstand aus

datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks