Conti ist keine Gefahr mehr – oder?

8,6 Prozent aller deutschen Unternehmen und Behörden wurden im Mai 2022 mit der Schadsoftware Emotet angegriffen. Das geht aus den Untersuchungen des Research Teams von Check Point hervor, welches kürzlich seinen Global Threat Impact Index veröffentlichte, dessen Daten auf der ThreatCloud-Intelligence des Herstellers basieren. Wie in den Vormonaten bleibt Emotet somit an der Spitze und verteidigt seinen Titel als "eines der gefährlichsten Schadprogramme weltweit".

Auf Platz zwei des Rankings steht der Infostealer Formbook und Platz drei belegt der Banking-Trojaner Qbot.

Die meist ausgenutzten Schwachstellen

Obwohl die Schwachstelle in der Java-Bibliothek Log4j bereits mehr als ein halbes Jahr alt ist, gibt es immer noch Unternehmen, die ihre Anwendungen nicht gepatcht haben. Wie Check Point im Mai beobachtete, gehört Log4j momentan zu den Top 3 der weltweit am meisten ausgenutzten Schwachstellen. 46 Prozent der untersuchten Unternehmen waren davon betroffen.

Ebenfalls 46 Prozent waren von einer Directory-Traversal-Schwachstelle betroffen. Dabei wird es Angreifern mithilfe von gefälschten Anfragen an anfällige Server möglich, Dateien zu lesen, die eigentlich nur für Nutzer mit entsprechenden Berechtigungen vorgesehen sind. Dabei gefundene Informationen nutzen die Kriminellen, um den Webserver vollständig zu kompromittieren. Wie Check Point berichtet, sei dies im Laufe der Zeit eine besonders beliebte Methode für Cyberangreifer geworden, um in Systeme einzudringen.

Eine weitere bei Hackern beliebte Schwachstelle ist in der Software Git Repository aufgetaucht. Nutzen die Angreifer die Sicherheitslücke aus, können sie Kontoinformationen offenlegen. Hiervon waren den Analysten zufolge 45 Prozent der untersuchten Firmen im Mai 2022 betroffen.

Lesetipp: Linux-Malware auf dem Vormarsch

Diese Branchen werden am häufigsten angegriffen

Von Malware geplagt waren im Mai Check Point zufolge vor allem die Branchen Bildung und Forschung, Software-Anbieter sowie Internet und Managed Service Provider.

Auch der Anti-Malware-Hersteller Malwarebytes untersuchte die Cyberaktivitäten des vergangenen Monats, allerdings mit Blick auf Ransomware-Attacken. Besonders betroffen war im Mai der Dienstleistungssektor: 38 Angriffe verzeichnete die Branche den Analysten zufolge. 26 Ransomware-Attacken entfielen auf die Technologiebranche und weitere 16 Angriffe auf die Logistik.

Der Bildungssektor war mit acht Erpressungsangriffen zwar vergleichsweise wenig betroffen. Doch: "Bei Ransomware geht es darum, Geld zu verdienen. Es ist durchaus möglich, dass Ransomware-Gangs der Meinung sind, dass in anderen Branchen als dem Bildungssektor derzeit mehr Geld zu verdienen ist", sagt Pieter Arntz, Malware Intelligence Researcher bei Malwarebytes. In der jüngsten Vergangenheit hätten jedoch Cyberkriminelle auch großes Interesse an Schulen und anderen Bildungseinrichtungen gezeigt und diese mit Ransomware ins Visier genommen.

Das Ende von Conti?

Malwarebytes zufolge wurden nur 12 der verzeichneten Ransomware-Angriffe im Mai der Hackergruppe Conti zugeschrieben. Gefährlicher waren in diesem Monat Angriffe der Gruppen LockBit (73 Angriffe), Black Basta (22 Angriffe), BlackCat (15 Angriffe), Hive (14 Angriffe) und Mindware (13 Angriffe). Dennoch hat Conti die Aufmerksamkeit der Analysten auf sich gezogen.

Nachdem vertrauliche Informationen der Hackergruppe geleakt wurden, hat das Threat Intelligence Team herausgefunden, dass es intern eine Ankündigung für die Conti-Mitglieder über die Auflösung gab und dass interne Chatserver der Gruppe nicht mehr erreichbar sind. Allerdings ist die Leak-Webseite von Conti noch in Betrieb und wird laufend mit Daten aktualisiert.

Nachdem die Gruppe im April mehrere Regierungsbehörden in Costa Rica lahmlegte, schien es so, als stünde Conti noch recht gut da. Laut einer Analyse des Herstellers Advintel waren die Angriffe auf das mittelamerikanische Land lediglich eine "absichtliche Showeinlage einer Organisation, die aktuell nur noch mit Notbesetzung handelt".

Advintel zufolge scheint die Entscheidung von Conti, der russischen Regierung Unterstützung beim Einmarsch in die Ukraine zu gewähren, für die Hacker selbst nachteilig gewesen zu sein. Da Russland aktuell extremen Sanktionen ausgesetzt ist, befürchtet das Office of Foreign Assets Control (OFAC), die Kontrollbehörde des amerikanischen Finanzministeriums, das Conti Lösegelder, die sie von Opfern bekommt, an sanktionierte Personen weitergibt. Dadurch würde eine Datenerpressung zu einem Verstoß gegen die OFAC-Vorschriften und Sanktionsrichtlinien gegen Russland werden. Demnach würden Unternehmen, die möglicherweise Lösegelder für ihre Daten bezahlt hätten, sich vor weiteren Konsequenzen fürchten und die Hacker nicht bezahlen. Wie Advintel schreibt, hat sich die Hackergruppe somit ihre Haupteinnahmequelle selbst trocken gelegt.

Gebannt ist die Gefahr, die von der Ransomware-Bande ausgeht, trotzdem nicht. Die Hackergruppe Black Basta, die vermeintlich hinter den Angriffen auf Sixt, Fendt und Deutsche Windtechnik stecken soll, weist Verbindungen zu Conti auf. Auch KaraKurt und BlackByte sind Advintel zufolge Untergruppen von Conti, die nun versuchen sich zu etablieren, bevor das Original verschwindet.