Sicherlich haben Sie in den vergangenen Tagen über die fortlaufende Ransomware-Attacke der cyberkriminellen Hackergruppe Conti auf die Regierung in Costa Rica gelesen.
Alex Hinchliffe, Threat Intelligence Analyst bei Unit42 von Palo Alto Networks, kommentiert:
„Dass die Hackergruppe Conti eine ganze Regierung ins Visier genommen hat, ist nun nicht unbedingt eine Überraschung. Wir haben bereits gesehen, wie Conti Angriffe auf Krankenhäuser, Rettungsdienste und Strafverfolgungsbehörden durchführte und dabei doppelte Erpressungstechniken einsetzte, um Opfer dazu zu bringen, ein Lösegeld zu zahlen.
Conti hat sich seit ihrer Entstehung im Jahr 2020 immer als eine der rücksichtslosesten Ransomware-Gangs hervorgetan. Sie operieren ohne einen „Ehrenkodex“, den einige andere Hackergruppen zu beachten behaupten, wenn es darum geht, lebenswichtige oder besonders gefährdete Opfer anzugreifen.
Geld ist der Motivationsfaktor für solche Angriffe. Sie haben ihre Forderungen schnell und deutlich erhöht und belaufen sich im Jahresdurchschnitt auf rund 1,78 Millionen US-Dollar – ihre höchste anfängliche Zahlungsanforderung betrug 3 Millionen US-Dollar.
In diesem Fall forderten die Angreifer 20 Millionen Dollar – eine Verdoppelung der vorherigen Forderung von 10 Millionen Dollar. Anscheinend bot Conti an, das Lösegeld zu verringern, und sagte, wenn die Regierung zahlt, werden sie aufhören, private Institutionen in der Region anzugreifen.
In der Vergangenheit haben wir einen Anstieg der Techniken der doppelten Erpressung gesehen – das Herausschleusen von Daten, um sie als Druckmittel gegen die Opferorganisation zu verwenden, um Gelder zu erpressen – und so etwas wie das, was hier gemeldet wird, könnte eine weitere Wendung sein, um Angriffe gegen andere anzudrohen, es sei denn, das Opfer zahlt. Dies spiegelt wider, wie sehr Conti als organisiertes kriminelles Unternehmen mit geschäftsähnlichen Strukturen agiert. Diese wurden aufgedeckt, als Conti einen eigenen Leak erlitt, der sehr gut organisierte Teamstrukturen und definierte Rollen offenbarte.
Typischerweise arbeitet Conti sehr opportunistisch und nutzt bekannte Schwachstellen aus, um in Systeme einzudringen und sich seitlich über interne Geräte zu bewegen. Wir wissen bereits, dass sie CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207 (ProxyShell) bei ihren Ransomware-Angriffen verwendet haben und dann im Dezember 2021 erfolgreich mit der Ausnutzung von CVE-2021-44228, bekannt als Log4Shell, begonnen haben.”