Wie die Ransomware-Banden Conti und Hive mit ihren Opfern kommunizieren

4. Mai 2022, 12:37
  • security
  • ransomware
  • international
  • cisco
image
Foto: Peter Wehlow / Unsplash

Sicherheitsforscher haben Chatverläufe der berüchtigten Banden analysiert. Die einen geben sich vordergründig konziliant, die andern werden schnell aggressiv.

Die Ransomware-Banden Conti und Hive gehören zu den derzeit aktivsten. Laut Untersuchungen waren sie im 4. Quartal 2021 für fast ein Drittel der weltweiten Angriffe mit Ransomware verantwortlich. Zu den Schweizer Opfern von Conti gehört beispielsweise die Universität Neuenburg, zu denjenigen von Hive die Emil Frey Gruppe.
Cybersecurity-Experten von Cisco Talos haben jetzt Chats der beiden Banden mit rund 40 ihrer Opfer analysiert. Die Chats bieten Einblicke in die Kommunikationsmethoden, Überzeugungsstrategien, Verhandlungsschritte und andere Techniken, die von den Angreifern verwendet werden, um an ihr Lösegeld zu kommen.

Conti bietet auch IT-Support an

"Contis Kommunikationsstil ist relativ professionell, gekennzeichnet durch scheinbar gescriptete Einführungen und einen sachlichen, meist emotionslosen Ton", schreiben die Forscher. Nach dem ersten Kontakt gebe sich Conti fast schon empathisch und vermittle den Eindruck, man habe es mit "normalen" Geschäftsleuten zu tun. In gewissen Fällen habe die Bande auch angeboten, nach einer Zahlung IT-Support zu leisten und einen "Sicherheitsbericht" mit Massnahmen zu senden, damit ein betroffenes Unternehmen zukünftig seine Netzwerke besser sichern könne.
Die Bande sei auch bereit, ihre Lösegeldforderungen runterzuschrauben: in einem Fall von utopischen 50 Millionen US-Dollar auf 1 Million. Zudem gewähre sie "Ferien- und Feiertags-Rabatte" und zeige sich flexibel bei Zahlungsfristen. Hive biete ebenso Rabatte an, erhöhe aber die Forderung, wenn ein Unternehmen die Zahlung nicht bis zum festgelegten Datum leistet.

Hive ist fordernder und aggressiver

"Sowohl Conti als auch Hive senken die Lösegeldforderungen schnell und bieten während der Verhandlungen routinemässig mehrmals erhebliche Reduzierungen an", so Cisco Talos. Beide Banden würden im Vorfeld einer Attacke über ihre Opfer recherchieren und meist ein Lösegeld in Höhe von etwa 1% des Jahresumsatzes eines Unternehmens fordern.
Hive sei in der Kommunikation im Vergleich zu Conti informeller und fordernder. "Hive wendet fast nie eine der Überzeugungsstrategien an, wie wir sie bei Conti beobachtet haben, wie etwa Marketingtricks", heisst es im Report. "Wir konnten auch beobachten, dass Hive schnell aggressiver wurde, wenn das Opfer nicht auf die erste Kontaktaufnahme durch den Ransomware-Betreiber reagierte."

Schmiergeld für den Unterhändler

Die Betreiber von Hive würden oft "eine überraschend schlechte operative Sicherheit" zeigen und "sensible Informationen über ihren Verschlüsselungsprozess und andere operative Details" preisgeben. Andere Beweise würden laut Cisco Talos darauf hindeuten, "dass sich die Hive-Mitglieder nicht an irgendwelche Standardbetriebsverfahren halten und alle notwendigen Mittel einsetzen, um ihre Opfer zur Zahlung zu bewegen". In einem Fall sei dem Unterhändler eines Betroffenen sogar Schmiergeld angeboten worden.
Trotz der Unterschiede in der Kommunikation würden die untersuchten Chats zeigen, "dass Conti und Hive wie viele andere Cyberkriminelle opportunistische Akteure sind, die wahrscheinlich versuchen, ihre Opfer mit den einfachsten und schnellsten Mitteln zu kompromittieren, wozu häufig die Ausnutzung bekannter Schwachstellen gehört", schliesst der Report. Dies sei eine Mahnung an alle Unternehmen, ein starkes Patch-Management-System zu implementieren und alle Systeme auf dem neuesten Stand zu halten.
Der Report "Conti and Hive ransomware operations" kann als PDF kostenlos auf der Website von Cisco Tales heruntergeladen werden.

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022
image

NCSC mahnt: Bitte keine Privatgeräte im Homeoffice

Der Zugriff aufs Firmennetzwerk mit privaten Geräten ist mit erheblichen Risiken verbunden. Das zeigt ein aktueller Ransomware-Angriff.

publiziert am 24.6.2022 6
image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022