Mit Beginn des Ukraine-Krieges bezog die berüchtigte Ransomware-Bande Conti Stellung für Russland. Man sichere der russischen Regierung die "volle Unterstützung" zu,
schrieb sie in einem Statement. "Wir werden unsere volle Kapazität nutzen, um Vergeltungsmassnahmen zu ergreifen, falls die westlichen Kriegstreiber versuchen, kritische Infrastrukturen in Russland anzugreifen."
Kurz darauf begann eine anonyme Quelle mit der Veröffentlichung von internen Conti-Dateien. Erste Berichte sprachen davon, dass sich damit der ukrainische Teil der Bande gegen den russischen gewandt habe. Andere nannten einen ukrainischen Sicherheitsforscher als möglichen Urheber. Wer hinter dem Leak steckt, ist nach wie vor unklar, aber auf Twitter veröffentlicht der User
@ContiLeaks seither regelmässig Links zu neuen Datenpaketen.
60'000 interne Chatprotokolle veröffentlicht
Medien und Cybersecurity-Spezialisten haben nun mit deren Analyse begonnen. Im Leak befinden sich unter anderem rund 400 Json-Dateien und 60'000 interne Chat-Protokolle, die einen vertieften Einblick in die Mafia-ähnliche Struktur der Bande geben.
Laut dem französischen
'LeMagIT' stechen unter den Pseudonymen Mango und Stern zwei Leader deutlich hervor. Mitte Juli 2021 wurden erstmals die Ausmasse der Conti-Belegschaft detailliert beschrieben: "62 Personen im Hauptteam, das für die Durchführung der Angriffe und die Verhandlungen mit den Opfern verantwortlich ist; 23 Personen auf der Entwicklungsseite; 6 weitere für Reverse Engineering; und 4 weitere für Open Source Intelligence."
Streit um Zahlungen an Bandenmitglieder
Das Qualifikationsniveau sei jedoch im Allgemeinen heterogen, so 'LeMagIT'. "Einigen Rekruten musste beigebracht werden, wie man einen VPN-Server oder einen Socks-Proxy-Server verwendet." Auch bei der Bezahlung seien die Cyberkriminellen "unterschiedlich vorsichtig": "Während die einen regelmässig dieselbe Bitcoin-Adresse verwenden, ändern andere sie mehr oder weniger systematisch." Auch seien heftige Diskussionen ausgebrochen, weil Zahlungen an Bandenmitglieder nicht oder erst verspätet erfolgten.
Auch der amerikanische Security-Spezialist Brian Krebs hat sich die Datenpakete vorgenommen und in "2 Tagen 14 Monate an Chats" analysiert. Es sei eine "Goldmine ohne Boden", schreibt er
in seinem Blog. "Die Nachrichten enthalten auch umfangreiche Lösegeldverhandlungen und Zahlungen von Unternehmen, die einen Verstoss oder Ransomware-Vorfall nicht offengelegt hatten (und tatsächlich Conti bezahlt hatten, um sicherzustellen, dass die Bande schweigt). Darüber hinaus gibt es in diesen Chats Hunderte von Bitcoin-Adressen, die sich zweifellos als nützlich für Strafverfolgungsbehörden erweisen werden, die versuchen, die Gewinne der Gruppe zu verfolgen."
Quellcode der Ransomware geknackt
Wie
'Bleeping Computer' berichtet, findet sich im Leak auch ein passwortgeschütztes Archiv, das den Quellcode für den Conti-Ransomware-Verschlüsseler, -Entschlüsseler und -Builder enthält. Ein Sicherheitsforscher habe das Passwort geknackt, "wodurch jeder Zugriff auf den Quellcode der Conti-Ransomware- und Malware-Dateien erhielt". Der Quellcode biete einen enormen Einblick in die Funktionsweise der Malware. Auch der Quellcode der Bazarbackdoor-APIs und des Befehls- und Kontrollservers von Trickbot sei veröffentlicht worden.
Ob die Veröffentlichungen einen Einfluss auf die Operationen von Conti haben werden, ist zurzeit schwierig abzuschätzen. Im Normalfall erholen sich die Banden von Rückschlägen oder Verhaftungen relativ schnell und organisieren sich neu. Auf der Darkweb-Site von Conti wurde jedenfalls seit dem 28. Februar kein neuer Angriff mehr bekanntgegeben. Das letzte publizierte "Bekenntnis" ist
der Angriff auf die Universität Neuenburg. Hier wurden allerdings in den vergangenen zwei Tagen weitere entwendete Datenpakete publiziert. Mittlerweile sind es 46 Gigabyte – laut Conti rund 26% der angeblich gestohlenen Daten.
Auch Hive-Ransomware-Code analysiert
Unabhängig von den Conti-Leaks und nicht vor dem Hintergrund des Ukraine-Konflikts gibt es eventuell für eine weitere Ransomware-Bande schlechte Neuigkeiten. Sicherheitsforscher der südkoreanischen Universität Kookmin haben den Code der Hive-Ransomware analysiert und dazu
ein Papier (PDF) veröffentlicht. "Wir haben den Hauptschlüssel zum Generieren der Dateiverschlüsselung teilweise wiederhergestellt, um die Entschlüsselung von Daten zu ermöglichen, die von Hive-Ransomware verschlüsselt wurden", schreiben sie. "Nach unserem besten Wissen ist dies der erste erfolgreiche Versuch, Hive-Ransomware zu entschlüsseln. Es wird erwartet, dass unsere Methode verwendet werden kann, um den durch Hive-Ransomware verursachten Schaden zu reduzieren."