Nach Leak von Chatprotokollen bei Conti: Ungewöhnlich tiefe Einblicke in die Ransomware-Gruppe
von Tina Siering
Was ist Conti eigentlich?
Seit ihrem ersten Auftreten im Jahr 2020 hat sich die Conti-Gang einen berühmt-berüchtigten Namen gemacht. Das russische Hacker-Kollektiv stand neben der „befreundeten“ Gruppe REvil wie kein anderes Cybercrime-Syndikat für Erpressungsversuche mit Ransomware und ist auch für das Ransomware-as-a-Service-Geschäftsmodell bekannt, bei dem Software für kriminelle Aktivitäten vermietet wird. Auf das Konto der Conti-Gang gingen aufsehenerregende Erpressungen von großen Unternehmen oder Organisationen – und gezahlte Lösegelder in Millionenhöhe. Nachdem Anfang 2022 14 Führungspersönlichkeiten der REvil-Gruppe verhaftet wurden, verblieb die Conti-Gang als führendes Hacker-Kollektiv an der Spitze. Gerüchte zufolge werden die Machenschaften der Conti-Gang seitens der russischen Regierung weitestgehend geduldet – da sich die Gruppe hauptsächlich auf westliche Opfer spezialisiert hat und damit auch im Sinne von Putin und Co. handelt.
„Glory to Ukraine“ – Der Conti Leak beginnt mit einem Statement auf Twitter
Die Conti-Gang hatte mit Beginn des russisch-ukrainischen Krieges klare Position bezogen. In einem Blogbeitrag der Hacker hieß es: „Sollte sich jemand dazu entschließen, einen Cyberangriff oder irgendwelche Kriegsaktivitäten gegen Russland zu organisieren, werden wir alle unsere möglichen Ressourcen einsetzen, um die kritischen Infrastrukturen eines Feindes anzugreifen."
Diese Befürwortung des Angriffskrieges war der Auslöser für einen der größten Leaks in der Geschichte der Cyberverbrechen – einige Journalisten vergleichen den Leak mit den sogenannten „Panama Papers“.
Nach dem Statement begann eine anonyme Quelle mit der Veröffentlichung von Interna. Via Twitter stellt der User namens @ContiLeaks seitdem regelmäßig Links zu Datenpaketen bereit, die tiefe Einblicke in die Struktur und den Alltag von Conti bieten. Wer hinter dem Account steckt, ist nach wie vor unklar. Ging man anfangs von einem Insider in der Gruppe selbst aus, vermutet der Journalist Brian Krebs einen ukrainischen Sicherheitsforscher hinter den Leaks. Denn Geheimdienste, Sicherheitsforscher und Strafverfolgungsbehörden haben die Conti-Gang schon länger im Visier – und die kriminelle Vereinigung erfolgreich infiltriert. Wer auch immer hinter den Leaks steckt – er oder sie ist überaus fleißig: Insgesamt wurden zehntausende Nachrichten über Twitter verbreitet, die die Arbeitsweise der Cyberkriminellen bis ins kleinste Detail aufzeigen.
Conti ist organisiert wie ein mittelständisches Unternehmen
Aktuell sind weit über 60.000 interne Chat-Protokolle und rund 400 Json-Dateien veröffentlicht worden, die einen überaus interessanten Einblick in die mafiösen Strukturen der Conti-Gang bieten. Die Organisation der Gruppe ist den Leaks zufolge durchaus mit einem mittelständischen Unternehmen zu verglichen. Unterschiedliche Abteilungen mit eigenen Budgets, eine aktive Personalabteilung, die regelmäßig Bewerbungsgespräche durchführt, Administratoren für den Aufbau von Angriffsstrukturen, Manager und „CEOs“ – Strukturen aus der klassischen Wirtschaft scheinen auch im Cybercrime-Kreisen zu funktionieren. Die gesamte „Conti-Belegschaft“ setzt sich im Kern aus 62 Personen zusammen, die für die Angriffe und Verhandlungen mit den Opfern verantwortlich sind, sowie aus 23 Personen im Bereich Entwicklung. Ergänzt wird das Team durch sechs Experten für Reverse Engineering und vier weiteren Profis für den Bereich der Open Source Intelligence.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Unzufriedenheit auf den niedrigen Hierarchiestufen
Die Chatprotokolle zeigen, dass nicht alle Mitglieder der straff organisierten Conti-Gang mit den Abläufen zufrieden sind. Der für die Rekrutierung neuer Mitglieder verantwortliche Conti-Manager „Mango“ erzählt in einem der geleakten Chats von Anzeigen in russischen Hacker-Foren, über die neue Mitarbeiter gewonnen werden sollten: „In der Anzeige steht ein Gehalt von 2.000 Dollar. Aber es gibt viele Kommentare, dass wir Galeerensklaven rekrutieren“. Der Conti-Manager führt weiter aus: „Natürlich bestreiten wir das. Und sagen, dass diejenigen, die arbeiten und Ergebnisse liefern, mehr verdienen. Aber es gibt auch Beispiele von Programmierern, die normal arbeiten und 5 bis 10 Tausend Dollar verdienen“.
Auch in den internen Conti-Chatrooms hagelt es Kritik an den Arbeitsbedingungen. Während die Führungsetage sich fürstliche „Gehälter“ gönne, müssten die Angestellten auf den niedrigen Hierarchie-Ebenen teilweise tagelang ohne Pause und Schlaf durcharbeiten – die Bitten nach zumindest ein wenig Freizeit werden gekonnt vom Management ignoriert. Und das für ein Gehalt von nur 1000 bis 2000 Dollar pro Monat – für eine anstrengende, sich stetig wiederholende “Arbeit”.
Auch die eigentliche „Arbeit“ der Conti-Gang wird durch die Leaks erkennbar. So schreibt der Conti-Mitarbeiter Bentley, der verantwortlich für die Tarnungsmechanismen der Schadsoftware ist: „Unsere Arbeit ist nicht schwierig, sondern eintönig. Wir tun jeden Tag das Gleiche. Es geht im Wesentlichen darum, Dateien zu starten und sie anhand des Algorithmus zu überprüfen.“ Diese Arbeit muss dabei alle 4 Stunden wiederholt werden – und das vor 20 bis 21 Uhr Moskauer Zeit. Halten sich die Mitarbeiter an die strikten Vorgaben, ist laut Bentley „ein beruflicher Aufstieg möglich.“
Für die Bezahlung ihrer Angestellten nutzt die Conti-Gang Bitcoin-Wallets. Der Umgang mit den Adressen ist dabei extrem unterschiedlich. Während die einen Mitarbeiter eine Bitcoin-Adresse regelmäßig und dauerhaft für Zahlungseingänge verwenden, ändern andere Mitarbeiter die Wallets systematisch. Daraus lässt sich schließen, dass das Qualifikationsniveau der Conti-Gang im Allgemeinen als heterogen bezeichnet werden kann. Neben versierten Profis finden sich bei Conti offenbar auch Rekruten, denen selbst das Grundwissen im Umgang mit Socks-Proxy-Servern oder VPN-Servern beigebracht werden muss.
Um bei der Bezahlung zu bleiben: Die Leaks zeigen heftige Diskussionen, die in den internen Foren ausgebrochen sind. Zahlungen an Gangmitglieder werden teilweise verspätet, teilweise auch gar nicht durchgeführt.
Auch der Quellcode der Conti-Ransomware wurde geleakt
Im Leak findet sich ein passwortgeschütztes Archiv, das den Quellcode für die Conti-Ransomware enthält. Das „Werkzeug“ der Conti-Gang besteht aus Verschlüsseler, Entschlüsseler und Builder – und wurde nun von einem Sicherheitsforscher geknackt. Der Quellcode liegt somit offen vor und bietet einen vollumfassenden Einblick in die Funktionsweise des Schadprogramms. Ist das nun das Ende der Conti-Gang? „Schwierig abzuschätzen“ ist der einstimmige Tenor von Sicherheitsexperten weltweit. In der Regel können Hacker-Gruppierungen derartige Rückschläge recht einfach verkraften. Allerdings hat der Leak der Conti-Gang ganz offensichtlich einen recht deutlichen Schlag verpasst. Denn auf der Darknet-Seite der Gruppe wurde seit dem 28. Februar kein neuer Angriff mehr veröffentlicht.
„Äußerst effektiv – wenn auch bemerkenswert ineffizient“
Der Journalist Krebs zieht ein eindeutiges Fazit. Er habe bei der Recherche im Rahmen des Leaks den Eindruck gewonnen, dass Conti eine äußerst effektive – wenn auch bemerkenswert ineffiziente – cyberkriminelle Organisation ist. Umsätze in Millionenhöhe durch Erpressungen mit Ransomware treffen bei Conti auf überforderte, schlecht bezahlte Angestellte und eine selbstherrliche Führungsetage – die den Laden bestenfalls halbwegs im Griff hat.
Fazit zu den Einblicken durch die Conti-Leaks
Mit den Conti-Leaks stehen einmalige Einblicke in die Organisation einer erfolgreich agierenden kriminellen Vereinigung zur Verfügung. Detaillierte Einblicke in die Arbeitsweise der Gang, Zugriff auf den Quellcode der Schadsoftware und mit Sicherheit eine ganze Menge Adressen, die die Strafverfolgungsbehörden interessieren: Der Leak hat dem Hacker-Kollektiv einen schweren Schlag verpasst. Dass der Leak das Ende der Conti-Gang bedeutet, ist unwahrscheinlich.
Wie schützen sich Organisationen also vor Ransomware-Angriffen? Neben präventiven Maßnahmen wie der Deaktivierung des Remote-Desktop-Protokolls (RDP), das den Fernzugriff auf einen Rechner ermöglicht, sollten Unternehmen grundsätzlich über einen Incident-Response-Plan sowie einen Disaster-Recovery-Plan verfügen. Diese stellen die richtige Reaktion und ein strukturiertes Vorgehen im Ernstfall sicher.
Die beste Strategie ist es jedoch, den Worst Case bereits im Vorfeld zu verhindern. Zum Beispiel mit Systemen zur Angriffserkennung, wie dem Active Cyber Defense ACD Service von secion. Hierbei werden alle Systeme und Netzwerke laufend auf ungewöhnliche Aktivitäten, etwa Remote-Zugriffe von unbekannten IPs oder ferngesteuerte Befehle von einem Command & Control Server, überwacht. Verdachtsfälle werden in Echtzeit gemeldet. Falls Handlungsbedarf besteht, werden Kunden durch das Response Team umgehend über die entdeckten Angriffsaktivitäten informiert und erhalten konkrete Handlungsempfehlungen, um den Cyberangriff zu unterbinden.