Chat-Leaks geben Einblick in die Struktur der Conti-Cyberkriminellen

2. März 2022, 14:08
image
Foto: Alfonso Navarro / Unsplash

Die Ransomware-Gang Conti hatte sich im Ukraine-Krieg auf die Seite Russlands gestellt. Kurz darauf tauchten interne Protokolle auf. Auch der Quellcode für die Malware wurde publiziert.

Mit Beginn des Ukraine-Krieges bezog die berüchtigte Ransomware-Bande Conti Stellung für Russland. Man sichere der russischen Regierung die "volle Unterstützung" zu, schrieb sie in einem Statement. "Wir werden unsere volle Kapazität nutzen, um Vergeltungsmassnahmen zu ergreifen, falls die westlichen Kriegstreiber versuchen, kritische Infrastrukturen in Russland anzugreifen."
Kurz darauf begann eine anonyme Quelle mit der Veröffentlichung von internen Conti-Dateien. Erste Berichte sprachen davon, dass sich damit der ukrainische Teil der Bande gegen den russischen gewandt habe. Andere nannten einen ukrainischen Sicherheitsforscher als möglichen Urheber. Wer hinter dem Leak steckt, ist nach wie vor unklar, aber auf Twitter veröffentlicht der User @ContiLeaks seither regelmässig Links zu neuen Datenpaketen.

60'000 interne Chatprotokolle veröffentlicht

Medien und Cybersecurity-Spezialisten haben nun mit deren Analyse begonnen. Im Leak befinden sich unter anderem rund 400 Json-Dateien und 60'000 interne Chat-Protokolle, die einen vertieften Einblick in die Mafia-ähnliche Struktur der Bande geben.
Laut dem französischen 'LeMagIT' stechen unter den Pseudonymen Mango und Stern zwei Leader deutlich hervor. Mitte Juli 2021 wurden erstmals die Ausmasse der Conti-Belegschaft detailliert beschrieben: "62 Personen im Hauptteam, das für die Durchführung der Angriffe und die Verhandlungen mit den Opfern verantwortlich ist; 23 Personen auf der Entwicklungsseite; 6 weitere für Reverse Engineering; und 4 weitere für Open Source Intelligence."

Streit um Zahlungen an Bandenmitglieder

Das Qualifikationsniveau sei jedoch im Allgemeinen heterogen, so 'LeMagIT'. "Einigen Rekruten musste beigebracht werden, wie man einen VPN-Server oder einen Socks-Proxy-Server verwendet." Auch bei der Bezahlung seien die Cyberkriminellen "unterschiedlich vorsichtig": "Während die einen regelmässig dieselbe Bitcoin-Adresse verwenden, ändern andere sie mehr oder weniger systematisch." Auch seien heftige Diskussionen ausgebrochen, weil Zahlungen an Bandenmitglieder nicht oder erst verspätet erfolgten.
Auch der amerikanische Security-Spezialist Brian Krebs hat sich die Datenpakete vorgenommen und in "2 Tagen 14 Monate an Chats" analysiert. Es sei eine "Goldmine ohne Boden", schreibt er in seinem Blog. "Die Nachrichten enthalten auch umfangreiche Lösegeldverhandlungen und Zahlungen von Unternehmen, die einen Verstoss oder Ransomware-Vorfall nicht offengelegt hatten (und tatsächlich Conti bezahlt hatten, um sicherzustellen, dass die Bande schweigt). Darüber hinaus gibt es in diesen Chats Hunderte von Bitcoin-Adressen, die sich zweifellos als nützlich für Strafverfolgungsbehörden erweisen werden, die versuchen, die Gewinne der Gruppe zu verfolgen."

Quellcode der Ransomware geknackt

Wie 'Bleeping Computer' berichtet, findet sich im Leak auch ein passwortgeschütztes Archiv, das den Quellcode für den Conti-Ransomware-Verschlüsseler, -Entschlüsseler und -Builder enthält. Ein Sicherheitsforscher habe das Passwort geknackt, "wodurch jeder Zugriff auf den Quellcode der Conti-Ransomware- und Malware-Dateien erhielt". Der Quellcode biete einen enormen Einblick in die Funktionsweise der Malware. Auch der Quellcode der Bazarbackdoor-APIs und des Befehls- und Kontrollservers von Trickbot sei veröffentlicht worden.
Ob die Veröffentlichungen einen Einfluss auf die Operationen von Conti haben werden, ist zurzeit schwierig abzuschätzen. Im Normalfall erholen sich die Banden von Rückschlägen oder Verhaftungen relativ schnell und organisieren sich neu. Auf der Darkweb-Site von Conti wurde jedenfalls seit dem 28. Februar kein neuer Angriff mehr bekanntgegeben. Das letzte publizierte "Bekenntnis" ist der Angriff auf die Universität Neuenburg. Hier wurden allerdings in den vergangenen zwei Tagen weitere entwendete Datenpakete publiziert. Mittlerweile sind es 46 Gigabyte – laut Conti rund 26% der angeblich gestohlenen Daten.

Auch Hive-Ransomware-Code analysiert

Unabhängig von den Conti-Leaks und nicht vor dem Hintergrund des Ukraine-Konflikts gibt es eventuell für eine weitere Ransomware-Bande schlechte Neuigkeiten. Sicherheitsforscher der südkoreanischen Universität Kookmin haben den Code der Hive-Ransomware analysiert und dazu ein Papier (PDF) veröffentlicht. "Wir haben den Hauptschlüssel zum Generieren der Dateiverschlüsselung teilweise wiederhergestellt, um die Entschlüsselung von Daten zu ermöglichen, die von Hive-Ransomware verschlüsselt wurden", schreiben sie. "Nach unserem besten Wissen ist dies der erste erfolgreiche Versuch, Hive-Ransomware zu entschlüsseln. Es wird erwartet, dass unsere Methode verwendet werden kann, um den durch Hive-Ransomware verursachten Schaden zu reduzieren."

Loading

Mehr zum Thema

image

Pentagon verteilt seinen riesigen Cloud-Auftrag

Das Verteidigungsministerium musste das grosse Cloud-Projekt neu aufgleisen und umbenennen. Jetzt sind Milliardenzuschläge an Amazon, Google, Microsoft und Oracle gesprochen worden.

publiziert am 9.12.2022
image

Online-Betrüger: "Kommen Sie an unseren Branchenevent"

KMU und Private werden mit Phishing- und Betrugsmails bombardiert. Das NCSC hat alle Hände voll zu tun.

publiziert am 9.12.2022
image

US-Behörde will Activision-Übernahme durch Microsoft verhindern

Microsofts grösste Akquisition der Firmengeschichte gerät immer mehr unter Druck. Die US-Handelsaufsicht FTC hat Klage gegen die Übernahme eingereicht.

publiziert am 9.12.2022
image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022