Cyberkrieg

Ransomware-Bande Conti will Russland unterstützen

Die kriminelle Ransomware-Bande Conti will kritische Infrastrukturen angreifen. Damit wollen die kriminellen Hacker die russische Regierung unterstützen.
Von 
CSO | 28. Februar 2022 13:33 Uhr
American hacker sitting opposite of a russian hacker cyberwar concept in front of binary flags
American hacker sitting opposite of a russian hacker cyberwar concept in front of binary flags
Foto: BeeBright - shutterstock.com

Im Cyberspace eskaliert der Ukraine-Krieg ebenfalls. Nachdem die Hacktivisten von Anonymus ankündigten, Cyberangriffe gegen russische Ziele durchzuführen, droht jetzt die Ransomware-Gruppe Conti. Sie will kritische Infrastrukturen des Westens angreifen. Laut CISA (Cybersecurity & Infrastructure Security Agency) und FBI wurde die gleichnamige Ransomware Conti bei über 400 Angriffen auf US-amerikanische und internationale Organisationen eingesetzt. Wie bei Ryuk handelt es sich bei Conti um ein manuelles Ransomware-Programm, bei dem die Hacker zunächst in Organisationen eindringen und heimlich manuelle Hacking-Techniken anwenden, um sich seitlich zu bewegen und administrative Rechte in den Umgebungen zu erhalten.

Cyberangriff auf den Kreml

Die hinter der Ransomware Conti steckende Gruppe kündigte damit ihre volle Unterstützung für die russische Regierung an. Sie will die kritische Infrastruktur von jedem angreifen, der Cyberangriffe oder Kriegshandlungen gegen Russland startet. Die Drohung erfolgte, nachdem Twitter-Konten, die sich als Mitglieder von Anonymous ausgaben, den Cyberkrieg gegen die russische Regierung ausriefen. Weiter hieß es auf Twitter, man sei für die DDoS-Angriffe auf die Websites von Russia Today, des Kremls und des russischen Verteidigungsministeriums verantwortlich.

Conti droht mit Vergeltung

WebSite Ransomware Conti
WebSite Ransomware Conti
Foto: Website Conti

"Das Conti-Team kündigt offiziell seine volle Unterstützung der russischen Regierung an", verkündete die Conti-Bande am Freitag auf der Website, die sie nutzt, um Informationen über ihre Opfer zu veröffentlichen und ihnen mit Datenlecks zu drohen. "Sollte sich jemand dazu entschließen, einen Cyberangriff oder irgendwelche Kriegsaktivitäten gegen Russland zu organisieren, werden wir alle uns zur Verfügung stehenden Mittel einsetzen, um die kritischen Infrastrukturen des Feindes anzugreifen." Mittlerweile behauptet Conti auf seiner Website, mit keiner Regierung verbündet zu sein, wirft aber dem Westen Kriegstreiberei vor und beschuldigt die USA der Cyberagression.

Cyberkriminelle als Tarnung

Die Beteiligung von Hacktivisten und Cybercrime-Gruppen an dem Konflikt kann nach Ansicht von Experten zu einer Eskalation mit einer Welle von Angriffen führen. Zudem könnten Regierungsstellen diese Angriffe als Deckmantel für eigene zerstörerische CyberAktionen nutzen. "Ob Contis Ankündigung von patriotischen Gefühlen geleitet wird oder auf Anweisung russischer Staatsagenten erfolgt, ist schwer zu sagen", erklärt Michael DeBolt, Chief Intelligence Officer bei Intel 471. Es sei aber bekannt, dass sich russische Geheimdienste in der Vergangenheit bei ihren Operationen zur Tarnung auf cyberkriminelle Elemente verlassen haben. "Die russische Regierung bedient sich seit fast einem Jahrzehnt dieser Strategie", so DeBolt: "Wir wissen, dass Evgeniy Bogachev und Gameover ZeuS von der russischen Regierung im letzten Jahrzehnt für Geheimdienstzwecke eingesetzt wurden. Ein weiterer berüchtigter, mit Russland verbundener Akteur, Maksim Yakubets, wurde direkt vom russischen Inlandsgeheimdienst FSB angeworben." Dem Security-Spezialisten zufolge wurden zudem Aktionen wie der SolarWinds-Hack mit finanziell motivierten Cyberkriminellen in Verbindung gebracht, die gleichzeitig auf der Payroll russischer Nachrichtendienste standen. "Uns liegen derzeit keine Erkenntnisse vor, die darauf hindeuten, dass Conti dies tut, aber es ist durchaus möglich", erklärt DeBolt.

So wäre es für DeBolt nicht überraschend, wenn Conti in Zukunft die Verantwortung für Angriffe auf die Betreiber kritischer Infrastrukturen übernehmen würde, um als Deckung für staatlich gelenkte Aktionen zu dienen. Schließlich hatte US-Präsident Biden ausdrücklich gewarnt, dass alle Cyberangriffe auf kritische US-Infrastrukturen mit schweren Cyberangriffen beantwortet werden. Deshalb könnte sich Die russische Regierung Banden wie Conti bedienen, um später eine Beteiligung plausibel bestreiten zu können.

Präzedenzfall Georgien-Krieg

Hierfür gibt es bereits einen Präzedenzfall. Der russisch-georgische Krieg von 2008 wurde von Cyberangriffen auf die Internet-Infrastruktur und offizielle Websites in Georgien begleitet. In einigen Branchenberichten wurden die Angriffe damals einem Cybercrime-Kollektiv namens Russian Business Networks angelastet, doch einige Analysten wiesen darauf hin, dass die für die Angriffe verwendeten Tools speziell angepasst und im Voraus vorbereitet worden waren. Zudem gingen einige der Angriffe von Servern russischer Telekommunikationsunternehmen aus. Ein von der New York Times zitierter Sprecher der russischen Regierung erklärte damals, dass die Angriffe möglicherweise von Einzelpersonen in Russland oder anderswo gestartet wurden.

In einem Memo des Verteidigungsministeriums, das im Januar an Betreiber kritischer Infrastrukturen sowie an staatliche und lokale Regierungen verteilt wurde, wurde davor gewarnt, dass Russland je nach der Reaktion der NATO und der USA auf eine russische Invasion in der Ukraine zerstörerische Cyberangriffe gegen kritische Infrastrukturen in den USA in Betracht ziehen könnte, wie CNN damals berichtete. (hi)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Lucian Constantin arbeitet als Korrespondet für den IDG News Service.