Achtung: Conti Ransomware fügt neue Tools um Backups zu löschen

Forscher des Sicherheitsunternehmens Advanced Intelligence haben kürzlich einen Bericht über die berüchtigte Ransomware Conti veröffentlicht. Der Bericht konzentriert sich auf die neuen Fähigkeiten der Ransomware, System-Backups zu zerstören.

Die Ransomware- Bande Conti ist berüchtigt dafür, eine der gefährlichsten cyberkriminellen Organisationen zu sein. Das Forschungsteam von Advanced Intelligence bezeichnet die Bande in dem Bericht als „rücksichtslos" und hebt hervor, dass die Conti-Bande in der Vergangenheit mehrere Einheiten angegriffen hat, bei denen die Folgen der Angriffe möglicherweise tödlich gewesen sein könnten. Dazu gehören verschiedene medizinische Einrichtungen und Organisationen, darunter Krankenhäuser und medizinische Notfallzentren.

Der Bericht richtet sein Augenmerk auch auf die Art und Weise, wie die Conti-Bande ihre Mitglieder rekrutiert. Eine der gefragtesten Fähigkeiten bei der Genehmigung von Partnern im Rahmen des „Ransomware-as-a-Service"-Modells der Bande ist die Fähigkeit, System-Backups schnell und effizient zu löschen.

Natürlich ist es der größte Motivator, das Lösegeld zu zahlen, wenn Sie keine Backups haben und Ihr mit Ransomware infiziertes Netzwerk nicht funktionstüchtig wiederherstellen können. Aus diesem Grund konzentriert sich Conti so sehr darauf, Affiliates zu finden, die gut darin sind, Backups zu zerstören - dies führt zu höheren Chancen, nach dem Angriff eine Zahlung zu erhalten.

Die Conti-Bande scheint besonders daran interessiert zu sein, Backup-Daten zu zerstören, die mit Anwendungen eines Datensicherheitsunternehmens namens Veeam erstellt und gespeichert wurden.

Während der Angriffsvektor und der Einsatz von Tools seitens der Conti-Bande ein ziemlich normales Verfahren ist, erhalten die Hacker von Conti irgendwann ein privilegiertes Backup-Benutzerkonto, und an diesem Punkt kann nichts mehr getan werden, um das Backup-Wipe zu verhindern.

Veeam gab als Reaktion auf den Bericht eine formelle Erklärung ab und erklärte, dass das Unternehmen oder die Software wirklich nichts mehr tun können, sobald die Hacker Zugriff auf das Domänenadministratorkonto erhalten. Das Unternehmen riet seinen Kunden außerdem, die Backup-Software auf einer separaten Domäne zu betreiben, damit diese Art von Situation, in der die Kompromittierung der primären Domäne auch zu Backup-Löschungen führt, vermieden werden kann.

Die Conti-Gang ist auch dafür bekannt, doppelte Erpressungstaktiken anzuwenden – etwas, das immer mehr Ransomware-Akteure aufgegriffen haben. Dies beinhaltet sowohl die Verschlüsselung des Opfernetzwerks als auch die Androhung, sensible Informationen, die während des Angriffs herausgefiltert wurden, preiszugeben.