Der Einmarsch russischer Truppen in die Ukraine hat dazu geführt, dass sich plötzlich manche politisch positionieren, von denen man dies zunächst nicht erwarten würde: Cyberkriminelle. Für einiges Aufsehen hat dabei die offene Unterstützung Russlands durch die bekannte Ransomware-Bande Conti gesorgt – der STANDARD berichtete.

Leak

Genau dieser Support scheint nun aber nach hinten loszugehen. Wie sich herausstellt, sind nämlich längst nicht alle, die Zugriff auf interne Systeme von Conti haben, mit dem Support für Russland zufrieden. Und so hat ein Mitglied nun mehrere tausend Nachrichten aus den internen Chats der Gruppe veröffentlicht.

Obwohl die Aufzeichnungen nur wenige Wochen zurückgehen, ist der Inhalt dieser Chats durchaus pikant, wie Sicherheitsexperte Bill Demirkapi gegenüber "Vice" betont, der die Nachrichten eingesehen hat – geben sie doch einen Einblick in die internen Abläufe der Gruppe. So wird etwa dokumentiert, wie jemand der Gruppe einen Zero-Day-Exploit für Windows um 60.000 US-Dollar anbietet. Die Erpresser nutzen zunehmend auch solche bisher öffentlich unbekannten Lücken, um in Systeme einzubrechen und diese dann zu übernehmen.

Kooperationsmodell

Ebenfalls in dem Leak enthalten sind Screenshots von internen Administrations-Tools sowie Details zu Servern mit gestohlenen Daten. Vor allem aber wird eben dokumentiert, wie die Gruppe zusammenarbeitet.

Schon lange wurde vermutet, dass es sich bei Conti um eine vornehmlich in Russland angesiedelte Gruppe handelt, immerhin können solche Banden dort von lokalen Behörden unbeeinträchtigt ihr Werk verrichten – solange sie nicht gegen russische Systeme aktiv werden. Die Umgangssprache in den Chats ist denn auch russisch, allerdings gibt es neben dem Kern auch externe Zulieferer – und darunter dürften sich auch welche befunden haben, die in der Ukraine angesiedelt sind. Aus diesem Blickpunkt dürfte die Entscheidung für die einseitige Positionierung nicht sonderlich weise gewesen sein.

Viel Geld

Der Leak offenbart aber auch, wie einträglich das Geschäft mit Ransomware tatsächlich ist, und somit auch implizit, wie viele der Opfer klammheimlich bezahlen – sind doch darin die Adressen einiger von der Gruppe genutzter Bitcoin-Wallets enthalten, darunter auch ihre primäre Adresse. Auf dieser sind seit April 2017 insgesamt 65.498,197 Bitcoin eingelangt. Umgerechnet entspricht das mehr als 2,5 Milliarden Euro. (Andreas Proschofsky, 1.3.2022)