Chat-Leaks geben Einblick in die Struktur der Conti-Cyberkriminellen

2. März 2022 um 14:08
image
Foto: Alfonso Navarro / Unsplash

Die Ransomware-Gang Conti hatte sich im Ukraine-Krieg auf die Seite Russlands gestellt. Kurz darauf tauchten interne Protokolle auf. Auch der Quellcode für die Malware wurde publiziert.

Mit Beginn des Ukraine-Krieges bezog die berüchtigte Ransomware-Bande Conti Stellung für Russland. Man sichere der russischen Regierung die "volle Unterstützung" zu, schrieb sie in einem Statement. "Wir werden unsere volle Kapazität nutzen, um Vergeltungsmassnahmen zu ergreifen, falls die westlichen Kriegstreiber versuchen, kritische Infrastrukturen in Russland anzugreifen."
Kurz darauf begann eine anonyme Quelle mit der Veröffentlichung von internen Conti-Dateien. Erste Berichte sprachen davon, dass sich damit der ukrainische Teil der Bande gegen den russischen gewandt habe. Andere nannten einen ukrainischen Sicherheitsforscher als möglichen Urheber. Wer hinter dem Leak steckt, ist nach wie vor unklar, aber auf Twitter veröffentlicht der User @ContiLeaks seither regelmässig Links zu neuen Datenpaketen.

60'000 interne Chatprotokolle veröffentlicht

Medien und Cybersecurity-Spezialisten haben nun mit deren Analyse begonnen. Im Leak befinden sich unter anderem rund 400 Json-Dateien und 60'000 interne Chat-Protokolle, die einen vertieften Einblick in die Mafia-ähnliche Struktur der Bande geben.
Laut dem französischen 'LeMagIT' stechen unter den Pseudonymen Mango und Stern zwei Leader deutlich hervor. Mitte Juli 2021 wurden erstmals die Ausmasse der Conti-Belegschaft detailliert beschrieben: "62 Personen im Hauptteam, das für die Durchführung der Angriffe und die Verhandlungen mit den Opfern verantwortlich ist; 23 Personen auf der Entwicklungsseite; 6 weitere für Reverse Engineering; und 4 weitere für Open Source Intelligence."

Streit um Zahlungen an Bandenmitglieder

Das Qualifikationsniveau sei jedoch im Allgemeinen heterogen, so 'LeMagIT'. "Einigen Rekruten musste beigebracht werden, wie man einen VPN-Server oder einen Socks-Proxy-Server verwendet." Auch bei der Bezahlung seien die Cyberkriminellen "unterschiedlich vorsichtig": "Während die einen regelmässig dieselbe Bitcoin-Adresse verwenden, ändern andere sie mehr oder weniger systematisch." Auch seien heftige Diskussionen ausgebrochen, weil Zahlungen an Bandenmitglieder nicht oder erst verspätet erfolgten.
Auch der amerikanische Security-Spezialist Brian Krebs hat sich die Datenpakete vorgenommen und in "2 Tagen 14 Monate an Chats" analysiert. Es sei eine "Goldmine ohne Boden", schreibt er in seinem Blog. "Die Nachrichten enthalten auch umfangreiche Lösegeldverhandlungen und Zahlungen von Unternehmen, die einen Verstoss oder Ransomware-Vorfall nicht offengelegt hatten (und tatsächlich Conti bezahlt hatten, um sicherzustellen, dass die Bande schweigt). Darüber hinaus gibt es in diesen Chats Hunderte von Bitcoin-Adressen, die sich zweifellos als nützlich für Strafverfolgungsbehörden erweisen werden, die versuchen, die Gewinne der Gruppe zu verfolgen."

Quellcode der Ransomware geknackt

Wie 'Bleeping Computer' berichtet, findet sich im Leak auch ein passwortgeschütztes Archiv, das den Quellcode für den Conti-Ransomware-Verschlüsseler, -Entschlüsseler und -Builder enthält. Ein Sicherheitsforscher habe das Passwort geknackt, "wodurch jeder Zugriff auf den Quellcode der Conti-Ransomware- und Malware-Dateien erhielt". Der Quellcode biete einen enormen Einblick in die Funktionsweise der Malware. Auch der Quellcode der Bazarbackdoor-APIs und des Befehls- und Kontrollservers von Trickbot sei veröffentlicht worden.
Ob die Veröffentlichungen einen Einfluss auf die Operationen von Conti haben werden, ist zurzeit schwierig abzuschätzen. Im Normalfall erholen sich die Banden von Rückschlägen oder Verhaftungen relativ schnell und organisieren sich neu. Auf der Darkweb-Site von Conti wurde jedenfalls seit dem 28. Februar kein neuer Angriff mehr bekanntgegeben. Das letzte publizierte "Bekenntnis" ist der Angriff auf die Universität Neuenburg. Hier wurden allerdings in den vergangenen zwei Tagen weitere entwendete Datenpakete publiziert. Mittlerweile sind es 46 Gigabyte – laut Conti rund 26% der angeblich gestohlenen Daten.

Auch Hive-Ransomware-Code analysiert

Unabhängig von den Conti-Leaks und nicht vor dem Hintergrund des Ukraine-Konflikts gibt es eventuell für eine weitere Ransomware-Bande schlechte Neuigkeiten. Sicherheitsforscher der südkoreanischen Universität Kookmin haben den Code der Hive-Ransomware analysiert und dazu ein Papier (PDF) veröffentlicht. "Wir haben den Hauptschlüssel zum Generieren der Dateiverschlüsselung teilweise wiederhergestellt, um die Entschlüsselung von Daten zu ermöglichen, die von Hive-Ransomware verschlüsselt wurden", schreiben sie. "Nach unserem besten Wissen ist dies der erste erfolgreiche Versuch, Hive-Ransomware zu entschlüsseln. Es wird erwartet, dass unsere Methode verwendet werden kann, um den durch Hive-Ransomware verursachten Schaden zu reduzieren."

Loading

Mehr zum Thema

image

Podcast: Sind die Bemühungen gegen Ransomware-Banden aussichtslos?

Lockbit und Alphv wurden zerschlagen – und waren Tage danach wieder aktiv und drohen mit Vergeltung. Wir diskutieren, ob die Bemühungen gegen Ransomware aussichtslos sind.

publiziert am 1.3.2024
image

Breach von Easypark könnte 21 Millionen Datensätze umfassen

Nach dem Angriff auf den auch in der Schweiz aktiven Park-App-Anbieter verkauft ein Hacker ein grosses Datenpaket. Es soll auch Kreditkarten- und IBAN-Details enthalten.

publiziert am 29.2.2024
image

Noch mehr Kritik für inter­kantonale Polizei­daten­bank

Eine neue Vereinbarung soll den Austausch von polizeilichen Daten unter den Kantonen regeln. Der Gesetzesentwurf dazu ist kantonalen Datenschützern zu unpräzise und eine "Art Blanko­ermächtigung" für die Polizei.

publiziert am 28.2.2024 1
image

Bank schickt USB-Sticks an Geschäftskunden

Eine deutsche Sparkasse hat 15'000 USB-Sticks mit neuen Geschäftsbedingungen verschickt. Wenn das Schule macht, öffnet das Cyberkriminellen Tür und Tor.

publiziert am 28.2.2024 2