Das Conti-Leak: Bedienungsanleitung für Ransomware​

In den Handbüchern für Affiliates beschreiben die Kriminellen minutiös, wie man ein Netz auskundschaftet, Zugang ausweitet und schließlich Daten verschlüsselt.

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 140 Beiträge

(Bild: Foxeel,Shutterstock.com)

Von
  • Daniel Riebel
  • Jürgen Schmidt

Ende Juli kam es mal wieder zu einem Leak. Doch diesmal wurden keine Nutzerdaten, Passwörter oder interne Firmen-Unterlagen veröffentlicht. Jedenfalls nicht, wenn man eine Cybercrime-Bande nicht schon als Firma betrachtet. Wie es aussieht, hat ein unzufriedener Kunde der Conti-Ransomware deren Bedienungsanleitung inklusive einiger nützlicher Skripte aus Protest veröffentlicht.

Die Conti-Ransomware ist einer der aktivsten Erpressungs-Trojaner und erpresste allein 2021 bereits über 12 Millionen US-Dollar; dazu legte sie unter anderem das irische Gesundheitssystem und die TU Berlin lahm. Das Schadprogramm wurde von der Trickbot-Bande als Nachfolger von Ryuk entwickelt, den viele Emotet-Geschädigte aus leidvoller Erfahrung kennen. Conti bildet die Basis für das Ransomware-as-a-Service-Geschäft der Bande. Dabei stellt sie ambitionierten Nachwuchs-Kriminellen Infrastruktur, Tools und Anleitungen bereit, mit denen diese eigene Ransomware-Raubzüge organisieren können. Dafür behält der RaaS-Anbieter dann einen Großteil des über ihre Geldwaschanlage eingesammelten Lösegelds ein.

Die Web-Seite Ransomwhere verfolgt Lösegeldzahlungen; gemäß ihrer Daten hat Erpressung mit Conti bereits über 12 Millionen US-Dollar eingebracht und liegt damit noch vor der berüchtigten REvil-Gang.

(Bild: Ransomwhere)

Und genau darüber kam es dem Vernehmen nach zum Streit. Ein Affiliate beschwerte sich demnach in einem Untergrundforum darüber, dass sein Anteil in Anbetracht dessen, dass er die ganze Arbeit mache, viel zu gering ausfalle. Um „denen oben“, die nur abkassieren, eins auszuwischen, veröffentlichte er kurzerhand das von der Bande bereit gestellte Lernmaterial.

(Bild: Böses Blut bei den Kriminellen – "m1Geelka" will sich nicht mit 1500 US-Dollar abspeisen lassen. )

Ob das jetzt tatsächlich der Wahrheit entspricht, kann man nicht mit letzter Sicherheit sagen. Eine erste Analyse von heise Security lässt jedoch die Echtheit des Materials zumindest plausibel erscheinen. Die beschriebenen Vorgänge bilden sehr real das ab, was über solche Vorfälle bekannt ist. Im Internet haben auch bereits Incident-Response-Spezialisten bestätigt, dass die Anleitungen Details wiedergeben, die sie bei konkreten Conti-Erpressungsfällen beobachtet haben.

Damit ist das derart geleakte Material natürlich ein interessanter Ausgangspunkt für eine Entdeckungsreise in die Welt der Conti-Erpresser. Dabei fällt als erstes auf, dass ein Großteil der Dokumente in Russsisch verfasst ist. Doch schon eine automatisierte Übersetzung etwa mit Deepl holpert zwar an manchen Stellen, lässt im Kontext doch jeweils gut erkennen, um was es geht. Sie bildet die Basis der folgenden Beschreibung.

Die Dokumente richten sich auch an absolute Laien, denen man selbst die Basics noch erklären muss. Als erstes kommt da natürlich das Wichtigste: das Geld. Als Allererstes sollen die angehenden Erpresser nämlich Informationen zum Umsatz des zukünftigen Opfers sammeln. Also konkret:

Google: "mycorporation.com" "revenue"

Anhand dieser Informationen lässt sich die Aktion priorisieren und – noch wichtiger – die Höhe einer realistischen Lösegeldforderung festlegen.

Das zentrale Dokument ist ein ausführliches Manual zu Cobalt Strike.

Die zentralen Dokumente drehen sich um die Nutzung von Cobalt Strike (CS).

Das ist ein kommerzielles Toolkit, das eigentlich für professionelle Angriffssimulationen gedacht ist – im Security-Speak heißt das Red Teaming. Es ist jedoch auch bei staatlichen Angreifern (APT) und Cybercrime-Banden sehr beliebt. Den Entwicklern Cobalt Strike wird deshalb häufig vorgeworfen, dass sie zu wenig gegen die kriminelle Nutzung ihres Frameworks unternehmen und damit indirekt Cybercrime unterstützen.

Cobal Strike ist eine komplette Plattform für Angriffe auf IT-Netze. Sie wird sehr gern auch von Kriminellen wie der Conti-Bande eingesetzt.

(Bild: Screenshot)

Die Angreifer platzieren dabei auf kompromittierten Systemen sogenannte Cobalt Strike Beacons. Die funken auf verschiedensten Wegen nach Hause zu ihrem Command&Control-Server. So kann der Angreifer jederzeit Kontakt mit seinen Brückenköpfen aufnehmen. Die Beacons bieten ihm dann komfortable Funktionen zur Kontrolle des Systems, das Sammeln von weiteren Informationen und die Ausbreitung im Netz.

Es überrascht somit kaum, dass sich das erste Kapitel der Informationsgewinnung widmet. Es beginnt mit einer langen Liste von Kommandozeilenbefehlen wie

shell net localgroup administrators

und Erklärungen der jeweiligen Ausgabe. Ein interessantes Detail am Rande: In einem Kommentar erwähnt der Autor explizit, dass man auf einem deutschsprachigen System nach „Domänen-Admins“ anstelle der „domain Admins“ suchen muss. Deutschland ist also definitiv im Visier der Conti-Gang.

Im Weiteren geht es dann unter anderem um Privilege Escalation, also das Erlangen erweiterter Rechte. Da ist unter anderem PrintNightmare ein eigenes Kapitel gewidmet:

Vulnerability is fresh, but it's already notorious. We use it before it's shut down. CVE-2021-34527 allows it to create local administrator, it's useful if there is an agent which comes with simple user rights.

Ein ausführliches Kapitel widmet sich der Persistenz – also wie man sich am besten im System festsetzt. Dabei diskutieren sie die Vor- und Nachteile verschiedener Konzepte. Also etwa, dass reine In-Memory-Backdoors die wenigsten Spuren hinterlassen und die geringste Gefahr aufweisen, bemerkt zu werden aber dafür nach einem Neustart des Systems verloren sind. Als möglichen Kompromiss schlagen sie vor, sich in die Startup-Prozedur häufig genutzter Programme wie MS-Office einzuklinken.

Weitere Kapitel beschäftigen sich mit "Lateral Movement", "Hunting Admins" und SMB-Cracking. Auffällig ist der Fokus auf das Active Directory. Das Manual erwähnt auch etliche Zusatz-Tools wie ADFind und SharpView, mit denen die Angreifer das Netzwerk und das Active Directory ausforschen und dann auch angreifen können. Das zentrale Ziel sind Domain-Admin-Credentials, die sie etwa mit Tools wie Mimikatz oder Kerberoast extrahieren. Wenn sie das Active Directory kompromittiert haben, erstellen sie gerne neue Admin-Accounts mit unverfänglichen Namen wie “oldadministrator”.

Das Finale erklärt schließlich das Ausrollen und Starten des eigentlichen Verschlüsselungsprogramms. Das erfolgt dann etwa über reguläre Admin-Tools wie psexec oder wmic mit einem zuvor erstellten Domain-Admin-Account auf allen Systemen im Netz.

Weitere Dokumente beschreiben speziellere Techniken oder Tools. So empfehlen die Kriminellen etwa den Internet-Dienst ngrok, um sicherzustellen, dass Systeme hinter einem NAT weiterhin leicht erreichbar sind. Den verkoppeln sie mit einem lokalen RDP, der dazu auf Port 1350 umgestellt wird. Alternativ wird auch das Wartungs-Tool Anydesk als Backdoor empfohlen.

Das MANUAL-Verzeichnis des Leaks enthält eine Reihe von Tools und Einzeldokumente. Die Namen in diesem Screenshot sind bereits übersetzt.

Interessant ist auch, wie konkret die Kriminellen das Exfiltrieren von Dateien beschreiben. Sie legen dazu einen (mit Kryptogeld bezahlten) Account beim File-Hoster Mega an – je einen neuen pro angegriffenem Netz, mahnen die Autoren. Interessanterweise sind sogar die Zugangsdaten zu einem dieser Accounts im Leak enthalten.

Der Upload der zu stehlenden Daten erfolgt dann mit dem Tool rclone, das einen speziellen Mega-Modus bietet. Andere interessante Dokumente enthalten Links zu verschiedenen öffentlichen Cheatsheets für SQL Injections oder Skripte, welche diverse Antivirenlösungen wie Bitdefender, TrendMicro oder den Windows Defender ausschalten können.

Letztlich verraten die Manuals nichts grundsätzlich neues über die Vorgehensweise der Kriminellen. Spannend sind vor allem die kleinen Details wie Hinweise auf deutsche Besonderheiten und natürlich Einzelheiten wie spezielle Benutzernamen oder Ports, mit denen die Verteidiger jetzt die Regeln für ihre internen Alarmanlagen verbessern können.

Besonders spannend finde ich persönlich, dass bei den Kriminellen offenbar Unzufriedenheit über die Verteilung der Beute aufkommt. Das könnte in Zukunft Möglichkeiten eröffnen, die Strukturen aufzubrechen und so auch an die Hinterleute heranzukommen.

Im Expertenforum von heise Security Pro bekommen Security-Profis Zugang zu den von uns übersetzten Dokumenten und diskutieren über ihre Erkenntnisse:

(ju)