Ransomware: Conti-Erpressergruppe verbittet sich Leaks ihrer Verhandlungs-Chats
Die Cyberkriminellen hinter der Conti-Ransomware drohen jedem Opfer mit Veröffentlichung seiner Daten, sollten Details über die Erpressung im Netz auftauchen.
(Bild: Jozsef Bagota/Shutterstock.com)
Eine Ransomware-Erpressergruppe möchte die Medienberichterstattung über ihre gelungenen Angriffe kontrollieren und unterdrücken: Die sogenannte Conti-Gruppe droht damit, die bei ihren Opfern erbeuteten Daten zu veröffentlichen, sollten Details zu Lösegeld-Verhandlungen im Netz auftauchen – etwa wenn Journalisten oder IT-Spezialisten Informationen zugespielt bekommen oder sie selbst fündig werden.
Anlass dieses drastischen Schritts sind geleakte Screenshots von Nachrichten, die die Macher der Ransomware Conti und eines ihrer Opfer, der japanische Elektronikkonzern JVCKenwood, über die Höhe eines Ransomware-Lösegelds austauschten. Die Gruppe habe nach Entdecken des Leaks die Verhandlungen sofort abgebrochen und die bei JVCKenwood erbeuteten Daten veröffentlicht. Das teilen die Cyberkriminellen auf ihrer Leak-Site im Tor-Netzwerk mit.
Erpresser wollen erst um Erlaubnis gefragt werden
In ihrer Mitteilung schreibt die Gruppe, sie habe generell nichts gegen Presseberichte, aber ihre "Verhandlungen" mit ihren "Kunden" über die Höhe des Lösegelds verliefen schließlich im Rahmen eines "normalen Geschäftsgangs" und verdienten daher Diskretion. Mehr noch: Die Cyberkriminellen versteigen sich zu der Behauptung, solche Berichterstattung mit Ausschnitten des Nachrichtenaustausches sei "intellektuell und ethisch anstößig" und man wolle sich an dieser "billigen" Vorgehensweise (nämlich offene Chats einfach per Screenshot abzugreifen und zu veröffentlichen) nicht beteiligen.
Wer veröffentlichen wolle, müsse die Gruppe vorher um Erlaubnis fragen. Mit einigen ausgewählten Spezialisten und Journalisten würde man reden. Dies sei übrigens die erste öffentliche Äußerung der Gruppe und weitere würden folgen, kündigt die Mitteilung an.
Arbeit von Spezialisten wäre erschwert
Diese Drohung setzt nicht nur Betroffene unter Druck, Stillschweigen zu bewahren und keine Informationen an die Presse oder IT-Security-Spezialisten weiterzugeben, sondern erschwert auch den letzteren beiden ihre Tätigkeit. Diese werden oft gar nicht direkt von Betroffenen kontaktiert, sondern beziehen ihre Informationen aus Quellen wie VirusTotal – dorthin laden viele Betroffene Muster der Schadsoftware oder Links zu Web-Chats hoch (in denen sie mit den Erpressern über die Lösegeldsumme reden können).
Dort bedienen sich häufig Spezialisten und forschen nach, welche Strategien die Angreifer verfolgen, welchen neuen Schadcode diese verwenden oder ob es ein prominentes Unternehmen getroffen hat. Mitunter stoßen sie auch auf Nachrichten zwischen einer Ransomware-Gruppe und ihren Opfern und veröffentlichen Teile davon in den sozialen Medien oder in ihren Blogs.
Bekannt ist die Erpressergruppe hauptsächlich durch den Einsatz der Ransomware Ryuk und deren Nachfolger Conti. Die Conti-Gruppe zählt zu den erfolgreichsten Cybercrime-Banden in der jüngsten Zeit und hat sich längst darauf verlegt, nicht nur die Daten ihrer Opfer per Malware-Befall zu verschlüsseln, sondern sie zuvor zu kopieren und anschließend mit Veröffentlichung auf einer eigens betriebenen Leak-Website zu drohen. Inwiefern es sich immer um ein und dieselbe Gruppe handelt oder nicht vielmehr um eine der zahlreichen Splittergruppen, lässt sich nur anhand von Ähnlichkeiten im Code der Malware oder gemeinsam genutzter Infrastruktur annehmen.
(tiw)
