Cybergang Conti: Interne Daten geleakt - 2,8 Milliarden US-Dollar erbeutet
(Bild: Rinrada_Tan/Shutterstock.com)
Nachdem die Cybergang Conti sich im Ukraine-Konflikt auf russische Seite stellte, veröffentlichte ein Mitglied interne Chats und Daten der vergangenen Jahre.
Im Angriffskrieg auf die Ukraine haben die Drahtzieher der Conti-Cybergang Position bezogen und sich auf die russische Seite gestellt. Das hat jedoch offensichtlich zu inneren Verwerfungen geführt. Mindestens ein vermutlich ukrainisches Mitglied der kriminellen Vereinigung hat nun Interna veröffentlicht. Zunächst Chat-Protokolle der vergangenen Jahre, in der Nacht zu Dienstag kamen jedoch noch weitere Daten hinzu, die der Conti-Gang noch mehr wehtun dürften.
Die Conti-Gang nutzt Ransomware-as-a-Service als "Geschäftsmodell". Sie bietet interessierten Cyberkriminellen Infrastruktur, Anleitungen, Toolkits wie Trickbot und Ähnliches an, mit dem sie in Netzwerke eindringen und Opfer schließlich um Lösegeld erpressen können. Dafür behält Conti einen Anteil der Lösegeldzahlungen ein, die üblicherweise in Kryptowährungen wie Bitcoin erfolgen.
Die Veröffentlichung der ersten Protokolle haben die Worte "Fuck the Russian government, Glory to Ukraine!" begleitet. Auf Twitter erklärte ContiLeaks in der Nacht zu Dienstag, "sorry, i have very bed internet drive to fighting with russian inviders![...]". Das Conti-Mitglied befindet sich offenbar auch in der Ukraine.
Schmerzhafte Datenlecks
Das erste Paket enthält interne Jabber-Protokolle von Conti von Ende Januar 2021 bis Ende Februar 2022. Dem folgten vergangene Nacht Pakete mit dem Conti-Toolkit, Auszüge des internen Trickbot-Forums, Rocket-Chat-Protokolle, interne Software sowie auch ältere Chat-Protokolle aus 2020.
Zudem scheint ContiLeaks Zugang zu Storage-Servern von Conti zu haben, auf dem Daten von den Angriffsopfern liegen, und teilt auch den mit ausgewählten Kontakten. Berichten zufolge hat die Conti-Gang die Laufwerksinhalte inzwischen geschreddert. Einige Informationen konnten Sicherheitsforscher jedoch noch extrahieren.
Die Jabber-Protokolle zeigen unter anderem, dass die Conti-Mitglieder anonymisiert via TOR-Netzwerk kommunizieren. Ersten Analysen zufolge umfassen sie mehr als 60.000 Nachrichten von über 2.500 Nutzern. Den Protokollen sei auch zu entnehmen, dass die Conti-Gang Testzugänge von Sophos und CarbonBlack mit Scheinfirmen aufsetzen wollte, vermutlich um deren Erkennungen zu umgehen, twitterte etwa @albertzsigovits. Die Analysen des umfangreichen Datenmaterials sind jedoch noch ganz am Anfang.
Die Protokolle deuten zudem auf die zentrale Bitcoin-Adresse von Conti. Darin befinden sich offenbar rund 65.500 Bitcoins (BTC). Die waren am Morgen des 1. März 2022 rund 2,8 Milliarden US-Dollar (etwa 2,5 Milliarden Euro) wert.
Kriminelle Geschäftsmodelle
Die angehäuften Bitcoins sprechen für bisher sehr lukrative Raubzüge. Drahtzieher und Gang-Mitglieder dürfen sich aber nicht mehr allzu sicher fühlen. Durch die veröffentlichten Daten könnten Mitglieder der Cybergang identifizierbar werden. Zudem helfen die Informationen darin Strafverfolgungsbehörden sowie IT-Sicherheitsunternehmen, etwa durch Analyse der Taktiken, Techniken und Vorgehensweisen (Tactics, Techniques, and Procedures, kurz TTP) bessere Erkennungen für Befall mit Conti-Malware oder optimierte Präventionsmaßnahmen zu liefern.
Da unter anderem auch Anti-Geldwäsche-Einheiten involviert sind, könnten die Bitcoins möglicherweise beschlagnahmt werden. Das FBI hat für genau solche Zwecke eine neue Einheit namens "Virtual Asset Exploitation Unit" eingerichtet, in der Kryptowährungsexperten Analyse, Unterstützung und Schulung für das FBI bieten. Zudem soll die Einheit die Kryptowährungswerkzeuge der Strafverfolger modernisieren, um zukünftigen Bedrohungen voraus zu sein, lässt sich einer Meldung des Department of Justice [1] entnehmen.
Positionierungen
Andere Cybergangs haben ebenfalls Position zum Überfall Russlands auf die Ukraine bezogen. Einer der größeren "Conti-Wettbewerber" ist die Lockbit-2.0-Gang. Auch sie operiert mit dem Ransomware-as-a-Service-Modell.
Sie sehe sich als apolitisch, schreibt die Lockbit-Cybergang in ihrer Stellungnahme. Die Pentester, also rekrutierte Mitarbeiter, die in die Netze der Opfer einbrechen und dort die Ransomware installieren, stammten zwar vorrangig aus Russland und der Ukraine. Sie umfassten aber auch "US-Amerikaner, Engländer, Chinesen, Franzosen, Araber, Juden und viele andere", erklärt Lockbit sein verdrehtes Weltbild.
"Für uns ist das nur ein Geschäft und wir sind apolitisch. Wir sind nur an Geld für unsere harmlose und nützliche Arbeit interessiert. Alles, was wir machen, ist, bezahlte Schulung für Systemadministratoren aus der ganzen Welt zu bieten, wie sie ein Firmennetzwerk korrekt aufsetzen", schreiben die Lockbit-2.0-Drahtzieher. "Wir werden niemals, unter keinen Umständen, an Cyberattacken auf kritische Infrastrukturen von irgendeinem Land in der Welt innerhalb internationaler Konflikte teilnehmen."
Lesen Sie auch
Das Conti-Leak: Bedienungsanleitung für Ransomware
(dmk [2])
URL dieses Artikels:
https://www.heise.de/-6529035
Links in diesem Artikel:
[1] https://www.justice.gov/opa/pr/justice-department-announces-first-director-national-cryptocurrency-enforcement-team
[2] mailto:dmk@heise.de
Copyright © 2022 Heise Medien