Beitrag von Florin Gruber, April 2021

Ransomware Conti – Ein Überblick

Wussten Sie, dass es Erpressungstrojaner mit Verhaltenskodex gibt? Ein Beispiel: Die Ransomware DarkSide greift keine Krankenhäuser, Schulen oder Behörden an.

Alle anderen Opfer aber stehen nicht selten vor Lösegeldforderungen zwischen 200'000 und 2'000'000 Schweizer Franken. Zahlbar in Kryptowährung (Meist Bitcoin oder Monero). Bei Nichtzahlung droht die Zerstörung oder Veröffentlichung der Daten. Noch nie wurden so viele Erkennungen gemeldet wie im Jahr 2020, wobei die Anzahl von Quartal zu Quartal stetig zunahm.

Zahlen zum Jahr 2020

  • 31% der Unternehmen weltweit werden mindestens einmal am Tag von Cyberkriminellen angegriffen
  • Die Ransomware Maze (mehr dazu später) machte dabei fast 50% aller bekannten Ransomware-Fälle aus
  • Malware wird immer häufiger automatisch generiert und verändert, so dass bis zu 100'000 neue Varianten pro Tag in Erscheinung treten (deshalb ist die heuristische, verhaltensbasierte Erkennung so wichtig)

Die Ransomware "Conti"

Conti wurde im letzten Jahr zum ersten Mal entdeckt und hat sich seither stark verbreitet. Wir stellen hier die grundlegende Funktionsweise vor:
  • Die durchschnittliche Lösegeldforderung liegt bei umgerechnet unter 90'000 Schweizer Franken
  • Conti nutzt den Neustart-Manager von Windows zum Schliessen aller offenen oder nicht gespeicherten Daten vor der Verschlüsselung
  • Enthält mehr als 250 Entschlüsselungsroutinen sowie eine Liste von 150 zu beendenden Services
  • Führt eine schnelle Verschlüsselung in 32 simultanen Threads mit Hilfe von Windows-internen Tools durch
  • Besitzt eine eigene Datenleak-Website, wo regelmässig Veröffentlichungen stattfinden
  • Existiert seit neuerem als Variante, wo Conti mittels DLL-Reflection direkt in die Memory geladen wird, ohne dass die Binärdateien auf der Festplatte abgelegt werden
Die Ausführung dieser Ransomware wird von unserer Lösung Cyber Protect vollautomatisch verhindert.  

Die Lösung: Cyber Protect erkennt Malware und Ransomware dank künstlicher Intelligenz und Cloud-Abgleich der Verhaltensmuster

Jede Schadsoftware besitzt ihr individuelles Verhaltensmuster. Deswegen setzen wir mit der Lösung Cyber Protect auf Acronis und die renommierte BitDefender-Engine (Behavioral Detection Engine), um diese Muster sofort zu erkennen. Gleichzeitig werden die Muster mit denjenigen in der Cloud abgeglichen. Dadurch wird sichergestellt, dass auch unbekannte Schadsoftware sofort erkannt wird. Auch die 10 gefährlichsten Malware- und Ransomware-Varianten (Aktuell sind dies Maze, REvil, SNAKE, Nemty, NetWalker, Ragnar Locker, MegaCortex, CLOP, DoppelPaymer, Thanos) werden von Cyber Protect vollautomatisch erkannt und gestoppt. Allenfalls bereits kompromittierte Dateien werden automatisch aus dem Backup wiederhergestellt. Eingebaute Selbstschutzfunktionen verhindern, dass der Cyber Protection Agent beendet werden kann oder dass in den Backuprythmus eingegriffen werden kann. Eine Auswahl an Verhaltensweisen, die von Cyber Protect erkannt und gestoppt werden:
  • Ein Prozess greift auf bestimmte (System-)Dateien zu
  • Ein Prozess hat ein verdächtiges Code-Pattern
  • Ein Prozess greift auf eine grosse Anzahl Dateien zu und bearbeitet diese nach einem verdächtigen Muster (z.B. Verschlüsselung)
  • Ein Prozess versucht, Schutzfunktionen gezielt auszuschalten oder bekannte, aber nicht gepatchte Schwachstellen im Betriebssystem oder in Drittsoftware auszunutzen
In jedem der oben genannten Fällen werden Sie sofort über den Fund informiert, inklusive Reporting, was zur Erkennung geführt hat und was der Prozess gemacht hat. Zusätzlich kann eine Black- und eine Whitelist eingerichtet werden, wo Prozesse oder Ordner von der Überprüfung ausgeschlossen werden können. Wenn Sie mehr zu Cyber Protect erfahren oder die Lösung testen möchten, freuen wir uns auf Ihre Kontaktaufnahme.