Wie die Ransomware-Banden Conti und Hive mit ihren Opfern kommunizieren

4. Mai 2022, 12:37
  • security
  • ransomware
  • international
  • cisco
image
Foto: Peter Wehlow / Unsplash

Sicherheitsforscher haben Chatverläufe der berüchtigten Banden analysiert. Die einen geben sich vordergründig konziliant, die andern werden schnell aggressiv.

Die Ransomware-Banden Conti und Hive gehören zu den derzeit aktivsten. Laut Untersuchungen waren sie im 4. Quartal 2021 für fast ein Drittel der weltweiten Angriffe mit Ransomware verantwortlich. Zu den Schweizer Opfern von Conti gehört beispielsweise die Universität Neuenburg, zu denjenigen von Hive die Emil Frey Gruppe.
Cybersecurity-Experten von Cisco Talos haben jetzt Chats der beiden Banden mit rund 40 ihrer Opfer analysiert. Die Chats bieten Einblicke in die Kommunikationsmethoden, Überzeugungsstrategien, Verhandlungsschritte und andere Techniken, die von den Angreifern verwendet werden, um an ihr Lösegeld zu kommen.

Conti bietet auch IT-Support an

"Contis Kommunikationsstil ist relativ professionell, gekennzeichnet durch scheinbar gescriptete Einführungen und einen sachlichen, meist emotionslosen Ton", schreiben die Forscher. Nach dem ersten Kontakt gebe sich Conti fast schon empathisch und vermittle den Eindruck, man habe es mit "normalen" Geschäftsleuten zu tun. In gewissen Fällen habe die Bande auch angeboten, nach einer Zahlung IT-Support zu leisten und einen "Sicherheitsbericht" mit Massnahmen zu senden, damit ein betroffenes Unternehmen zukünftig seine Netzwerke besser sichern könne.
Die Bande sei auch bereit, ihre Lösegeldforderungen runterzuschrauben: in einem Fall von utopischen 50 Millionen US-Dollar auf 1 Million. Zudem gewähre sie "Ferien- und Feiertags-Rabatte" und zeige sich flexibel bei Zahlungsfristen. Hive biete ebenso Rabatte an, erhöhe aber die Forderung, wenn ein Unternehmen die Zahlung nicht bis zum festgelegten Datum leistet.

Hive ist fordernder und aggressiver

"Sowohl Conti als auch Hive senken die Lösegeldforderungen schnell und bieten während der Verhandlungen routinemässig mehrmals erhebliche Reduzierungen an", so Cisco Talos. Beide Banden würden im Vorfeld einer Attacke über ihre Opfer recherchieren und meist ein Lösegeld in Höhe von etwa 1% des Jahresumsatzes eines Unternehmens fordern.
Hive sei in der Kommunikation im Vergleich zu Conti informeller und fordernder. "Hive wendet fast nie eine der Überzeugungsstrategien an, wie wir sie bei Conti beobachtet haben, wie etwa Marketingtricks", heisst es im Report. "Wir konnten auch beobachten, dass Hive schnell aggressiver wurde, wenn das Opfer nicht auf die erste Kontaktaufnahme durch den Ransomware-Betreiber reagierte."

Schmiergeld für den Unterhändler

Die Betreiber von Hive würden oft "eine überraschend schlechte operative Sicherheit" zeigen und "sensible Informationen über ihren Verschlüsselungsprozess und andere operative Details" preisgeben. Andere Beweise würden laut Cisco Talos darauf hindeuten, "dass sich die Hive-Mitglieder nicht an irgendwelche Standardbetriebsverfahren halten und alle notwendigen Mittel einsetzen, um ihre Opfer zur Zahlung zu bewegen". In einem Fall sei dem Unterhändler eines Betroffenen sogar Schmiergeld angeboten worden.
Trotz der Unterschiede in der Kommunikation würden die untersuchten Chats zeigen, "dass Conti und Hive wie viele andere Cyberkriminelle opportunistische Akteure sind, die wahrscheinlich versuchen, ihre Opfer mit den einfachsten und schnellsten Mitteln zu kompromittieren, wozu häufig die Ausnutzung bekannter Schwachstellen gehört", schliesst der Report. Dies sei eine Mahnung an alle Unternehmen, ein starkes Patch-Management-System zu implementieren und alle Systeme auf dem neuesten Stand zu halten.
Der Report "Conti and Hive ransomware operations" kann als PDF kostenlos auf der Website von Cisco Tales heruntergeladen werden.

Loading

Mehr zum Thema

image

Co-CEO verlässt Salesforce

Bret Taylor geht nach einem Jahr an der Spitze. Marc Benioff bleibt alleine zurück.

publiziert am 1.12.2022
image

Mutmasslicher Cyberangriff auf den Vatikan

Russische Hacker sollen verschiedene Websites des Zwergstaates angegriffen haben, weil der Papst den Angriffskrieg in der Ukraine als "grausam" bezeichnete.

publiziert am 1.12.2022
image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

Google und Youtube investieren, um gegen Fake-News vorzugehen

Der US-Konzern schiesst knapp 13 Millionen Franken in einen Fonds ein, um Faktencheck-Organisationen weltweit zu unterstützen.

publiziert am 29.11.2022