Conti-Leaks bringen Licht in die dunkelsten Geheimnisse der Ransomware

Im März 2022 wurde der größte Name in der Ransomware-Branche bekannter denn je - aber vielleicht nicht aus den Gründen, die er sich gewünscht hätte.

Die Conti-Ransomware-Bande erbeutete 2021 schätzungsweise 180 Millionen Dollar von Unternehmen in aller Welt. Als sie jedoch die russische Invasion in der Ukraine unterstützte, legte ein Mitarbeiter rund 60.000 Chat-Nachrichten der Gruppe offen.

Das Ergebnis war eine Fundgrube an Informationen, die uns einen Einblick in das geheime Leben der Conti-Bande und anderer Ransomware-Gruppen gewährte. Es ist eine unverzichtbare Lektüre für jeden, der im Bereich der Cybersicherheit tätig ist, da es alles von Taktiken und Strukturen bis hin zu Gehältern enthüllt - und auch den Arbeitsmurks und den Klatsch und Tratsch am Wasserkopf.

Wie Ransomware und RaaS funktionieren

Ransomware ist eine Malware, die Daten auf dem infizierten System verschlüsselt. Ransomware-Banden verlangen dann ein Lösegeld für den Entschlüsselungsschlüssel. Sie können auch eine Zahlung dafür verlangen, dass sie die Daten nicht an die Öffentlichkeit weitergeben - eine Strategie, die als Erpressungsware bekannt ist. Conti verbreitet seine Malware in der Regel über eine Phishing-E-Mail, die einen Link zur Google Drive-Malware enthält.

Ransomware-as-a-Service (RaaS)-Banden stellen ihre Software und ihr Know-how anderen Kriminellen zur Verfügung, damit diese ihre eigenen Angriffe starten können. Anspruchsvollere RaaS-Betriebe bieten sogar einen Rund-um-die-Uhr-Support, monatliche Pakete und professionelle Dark-Web-Portale mit Nutzerbewertungen, Foren und Live-Dashboards, die den Kunden über Angriffe informieren. Es handelt sich um ein großes und wachsendes Geschäft, mit einem geschätzten Umsatz von 4,52 Milliarden Dollar im Jahr 2021 und 64 % der australischen Unternehmen, die durch Ransomware gestört werden.

Die undichten Stellen bieten den bisher deutlichsten Einblick in eine Ransomware-Bande

Das Conti-Leck kam nur wenige Tage, nachdem die Gruppe der russischen Regierung ihre "volle Unterstützung" angeboten hatte. Eine Person - vermutlich ein ukrainischer Cybersicherheitsforscher, der die Bande infiltriert hatte - reagierte, indem er Zehntausende von Chatnachrichten über Twitter veröffentlichte. Auffallend ist, dass nur wenige der Nachrichten verschlüsselt waren.

Die Lecks, die von 2020 bis Februar 2022 reichen, enthalten auch Quellcode und Dokumente und geben uns den bisher klarsten Einblick in die Arbeitsweise einer Ransomware-Bande. Wir wussten bereits, dass es sich bei Conti um eine RaaS-Bande mit einer Besonderheit handelt: Die Gruppe erhält einen beträchtlichen Anteil der Erlöse aus den Angriffen ihrer Mitglieder, anstatt ihnen einfach nur eine Gebühr zu berechnen. Jetzt kennen wir auch zwei "Anführer": einen "Big Boss", der Stern oder Dämon genannt wird, und einen Senior Manager namens Mango.

Zusammenführung der Gruppe

Stern und Mango scheinen für die Einstellung, die Bezahlung des Personals, die Beschaffung von Software und die Abrechnung der Arbeitszeit des Personals zuständig zu sein. Alle Conti-Mitglieder und -Mitgliedsorganisationen scheinen ein Pseudonym zu verwenden. Und davon gibt es eine ganze Menge. Die Nachrichten stammen von fast 500 verschiedenen Personen, und zu einem Zeitpunkt hatte die Bande offenbar über hundert Mitglieder, wobei Stern ankündigte, weitere hundert Mitglieder rekrutieren zu wollen.

"Was auf den ersten Blick auffällt, ist die Größe, Struktur und Hierarchie der Organisation", sagt Soufiane Tahiri, ein Forscher, der die Lecks untersucht hat. "Sie arbeiten ähnlich wie ein Softwareentwicklungsunternehmen, und entgegen der landläufigen Meinung scheinen viele Programmierer Gehälter zu beziehen und sich nicht an der Lösegeldzahlung zu beteiligen."

Dem Geld folgen

Zum Personal gehörten Programmierer, Tester, Systemadministratoren, Verhandlungsführer, mittlere Führungskräfte und sogar die Personalabteilung. Viele schienen für ein einfaches vierzehntägiges Gehalt zu arbeiten, das sich im Durchschnitt auf etwa 1.800 Dollar pro Monat belief. Es wird vermutet, dass sich die Geschäfte von Conti in St. Petersburg konzentrieren, was bedeutet, dass ein Conti-Mitarbeiter etwa das Dreifache des durchschnittlichen russischen Monatslohns von 575 Dollar verdient. Es gab Prämien und Bußgelder für Nichterscheinen, während die leitenden Mitglieder die Ausgaben in einem gemeinsamen Arbeitsblatt zusammenstellten und sich über die Kosten für den Büroraum beschwerten. Andere baten manchmal um zusätzliches Geld für persönliche Angelegenheiten - darunter ein Mitarbeiter, dessen Mutter einen Herzinfarkt erlitt.

Das übliche Gehalt steht in keinem Verhältnis zu den Lösegeldforderungen der Gruppe, die im Durchschnitt etwa 750.000 Dollar betragen und häufig in die Millionen gehen. Mittlere Führungskräfte verdienen rund 80.000 Dollar, einige Mitglieder verdienen weit mehr, wobei die Hacker, die den ursprünglichen Einbruch ermöglichten, einen erheblichen Teil des Lösegelds kassierten. Mitglied Bio sagte, er habe "in diesem Monat bei Ihnen mehr verdient als in zehn Jahren".

Die Bürokultur bei RaaS ist geprägt von Klagen und hoher Fluktuation

Die Protokolle zeigen, dass das Leben in einer RaaS-Gang einem normalen Arbeitsplatz unheimlich ähnlich sein kann. Die Mitarbeiter erzählen ihren Kollegen, dass sie Covid-19 haben, gehen zum Haareschneiden aus dem Büro, beschweren sich über die Internetverbindung und bitten um Freistellung. Aber es gibt auch eine dunkle Seite. Antisemitische Witze über den ukrainischen Staatschef Wolodymyr Zelensky wurden geteilt. Als Mitglied Skippy Pläne für einen Urlaub in Übersee ankündigte, warnte Mango ihn davor und sagte ihm, er solle sicherstellen, dass sein Telefon sauber sei und seinen Laptop zurücklassen.

Die Personalfluktuation ist hoch, und ein Mitarbeiter namens Dollar wurde besonders kritisiert. Mango sagte ihm, dass sich "alle ständig über Sie beschweren und verärgert sind", und kritisierte ihn dafür, dass er Krankenhäuser angreift, was gegen die Unternehmensregeln verstößt. Die leitenden Mitarbeiter gehen nicht einfach drauf los: Sie tauschen sich über bewährte Praktiken aus und ziehen andere Ransomware-Gruppen (einschließlich Emotet, LockBit und IcedID) zu Rate.

Conti nutzt eine Reihe von Technologien - träumt aber von mehr

Die Nachrichten stammen meist von Jabber, wobei Rocket.Chat zur Verwaltung der Angriffe verwendet wird. Die Slack-ähnliche Oberfläche enthält Kanäle zu den Opfern und zeichnet auf, welche Mitarbeiter zuständig sind. Der Browser Tor wurde regelmäßig erwähnt, das verschlüsselte GPG und Protonmail wurden für E-Mails und Crunchbase für die Recherche verwendet. Conti hatte ein Open-Source-Team, das Bedrohungen untersuchte, und versuchte, Antivirensoftware zu kaufen, um seine Tools zu testen.

Auch die Ambitionen der Gruppe waren groß. "Wir wollen unser eigenes Kryptosystem schaffen", sagte Stern, bevor er eine Diskussion über NFTs und Krypto-Marktplätze eröffnete. Stern hat in einem Hackerforum einen Wettbewerb ausgeschrieben, um die Idee weiterzuentwickeln, obwohl sie offenbar nicht annähernd realisiert werden kann. Krypto-Plattformen sind ein offensichtlicher Schritt für Ransomware-Banden, die Geld verschieben und waschen wollen, ohne den Behörden auf die Schliche zu kommen.

Contis Traum von einer Kryptoplattform zeigt, dass sie und andere Ransomware-Gruppen bestrebt sind, innovativ zu sein, die Nase vorn zu haben und ein Vermächtnis aufzubauen - Stern und Mango sprachen auch über ein handelsbasiertes Darknet-Netzwerk für soziale Medien und sogar ein Casino.

Was uns die Conti-Leaks über Ransomware-Banden verraten

Diese durchgesickerten Nachrichten und Dokumente geben uns einen Eindruck von der Stärke der Ransomware-Gruppen, von denen viele, wie Conti, ihren Sitz in Russland zu haben scheinen. Sie zeigt, dass diese Gruppen fast wie Unternehmen sein können, von denen einige reif genug sind, um Mitarbeiter, Räumlichkeiten, ehrgeizige Wachstumspläne und enge Verbindungen zu anderen Banden zu haben.

Die undichte Stelle hat auch einen Teil des Geheimnisses, das Conti umgibt, beseitigt. Die Protokolle zeigen Grenzen und Frustrationen auf und offenbaren, dass die Gruppe oft fälschlicherweise behauptet, alle Daten der Opfer gestohlen zu haben, während sie in Wirklichkeit nur auf einen kleinen Teil zugegriffen hat. Conti und ähnliche Gruppen werden in absehbarer Zeit nicht verschwinden - in der Tat scheint die Gruppe bereits umgeschwenkt zu sein -, aber Strafverfolgungs- und Sicherheitsteams haben einen wichtigen Blick hinter den Vorhang der Ransomware geworfen.