Digital
Schweiz

Ransomware-Bande Conti von Leak betroffen – und mit ihr Schweizer Opfer

Wegen des Conti-Leaks könnten auch Datendiebstähle ans Licht kommen, die von den betroffenen Unternehmen geheim gehalten wurden.
Wegen des Conti-Leaks könnten auch Datendiebstähle ans Licht kommen, die von den betroffenen Unternehmen geheim gehalten wurden.bild: watson
Analyse

Super-GAU für russische Hackerbande – Leak könnte unbekannte Schweizer Opfer betreffen

Die Ransomware-Bande «Conti» zeichnet für einige der verheerendsten Hackerangriffe der jüngeren Geschichte verantwortlich. Nun ist sie wegen des Ukraine-Kriegs von einem massiven Leak betroffen – dies könnte auch für Schweizer Unternehmen Folgen haben.
28.02.2022, 12:3801.03.2022, 08:53
Mehr «Digital»

Die berüchtigte Ransomware-Bande Conti, zu deren bekannten Opfern einige Schweizer Unternehmen und zuletzt die Universität von Neuenburg zählten, ist selber von einem massiven Daten-Leak betroffen. Ein Sicherheitsforscher hat interne Chats der kriminellen Vereinigung an Journalisten und IT-Sicherheitsexperten weitergegeben.

Zuvor hatte Conti öffentlich mit Vergeltungsmassnahmen gegen den Westen gedroht, falls sich die USA und Verbündete in den Krieg einmischen würden. Ein schwerer Fehler ...

Super-GAU für russische Kriminelle

Conti gilt als eine der weltgrössten und gefährlichsten Ransomware-Banden – mit Dutzenden aktiven Mitgliedern mutmasslich in Russland und anderen osteuropäischen Ländern. Doch nun sieht sich die kriminelle Vereinigung selber mit einem potenziell desaströsen Leak konfrontiert.

Ein ukrainischer Sicherheitsforscher hat über 60'000 interne Chat-Nachrichten der Ransomware-Bande durchsickern lassen, nachdem sich Conti wegen der Invasion in der Ukraine auf die Seite Russlands gestellt hatte.

Zunächst war angenommen worden, dass es sich beim Leaker um ein Bandenmitglied ukrainischer Herkunft handelt. Dann stellte es sich heraus, dass die verräterischen Daten von einem ukrainischen Sicherheitsforscher stammten, der offenbar Zugriff auf die entsprechende Datenbank hatte.

Warum ist das aus Schweizer Sicht wichtig?

Interessant aus Schweizer Sicht: Die Conti-Bande ist für zahlreiche Ransomware-Attacken auf hiesige Unternehmen und staatliche Organisationen verantwortlich. Es dürfen längst nicht alle Opfer bekannt sein – doch dies könnte sich nun ändern, wie wir weiter unten sehen werden.

Das jüngste Bekennerschreiben der Kriminellen betrifft die Universität von Neuenburg. Die Bildungsinstitution hatte in der Nacht auf den 18. Februar 2022 ihre Server herunterfahren und den IT-Betrieb einstellen müssen.

Am Montag prangte auf der Leak-Site von Conti das kürzlich veröffentlichte Bekennerschreiben zum Angriff auf die Schweizer Universität direkt neben der Botschaft, die offenbar zum Zerwürfnis der kriminellen Vereinigung führte.

Auf der linken Seite drohen die Kriminellen mit der Veröffentlichung gestohlener Daten. Rechts daneben prangt die abgeschwächte Ankündigung von Vergeltungsmassnahmen.
Auf der linken Seite drohen die Kriminellen mit der Veröffentlichung gestohlener Daten. Rechts daneben prangt die abgeschwächte Ankündigung von Vergeltungsmassnahmen. screenshot: watson

Was ist passiert?

Die Conti-Anführer hatten nach der russischen Invasion in der Ukraine am vergangenen Freitag eine aggressive pro-russische Botschaft auf ihrer Darknet-Seite veröffentlicht.

Darin sicherten sie der russischen Regierung die volle Unterstützung für ihren Angriff auf die Ukraine zu. Und sie drohten dem Westen mit Attacken gegen «Kritische Infrastrukturen», falls es zu Cyberangriffen gegen Russland komme.

Weil sich laut Insider-Berichten die ukrainischen Bandenmitglieder über die Pro-Russland-Positionierung nervten, schwächte Conti die Botschaft auf der eigenen Leak-Seite ab und erklärte, dass man «sich mit keiner Regierung verbünde» und «den andauernden Krieg» verurteile.

Die abgeänderte, nicht minder fragwürdige Botschaft der kriminellen Gruppierung lautet nun:

«Als Reaktion auf die westliche Kriegstreiberei und die amerikanischen Drohungen, Cyber-Kriegsführung gegen die Bürger der Russischen Föderation einzusetzen, kündigt das Conti-Team offiziell an, dass wir unsere volle Kapazität nutzen werden, um Vergeltungsmassnahmen zu ergreifen, falls die westlichen Kriegstreiber versuchen sollten, kritische Infrastrukturen in Russland oder einer russischsprachigen Region der Welt anzugreifen.

Wir sind mit keiner Regierung verbündet und wir verurteilen den laufenden Krieg. Da der Westen jedoch dafür bekannt ist, dass er seine Kriege in erster Linie gegen Zivilisten führt, werden wir unsere Ressourcen einsetzen, um zurückzuschlagen, wenn das Wohlergehen und die Sicherheit friedlicher Bürger durch die amerikanische Cyber-Aggression gefährdet ist.»*
quelle: darknet, Übersetzt DeepL.com

Der Sinneswandel der pro-russischen Conti-Anführer kam jedoch zu spät, und der ukrainische Sicherheitsforscher kündigte in seiner E-Mail an die Journalisten bereits an, dass noch weitere Daten-Veröffentlichung («Dumps») kämen.

Sicher ist auf jeden Fall, dass andere aus Russland und der Ukraine agierende Ransomware-Banden aufgeschreckt wurden. So schrieb zum Beispiel die LockBit-Bande in einer sehr neutral formulierten Nachricht, die am Sonntag veröffentlicht wurde, dass sie sich auf keine Seite stellen wolle.

Interessantes Detail: Laut der Ransomware-Bande LockBit lebt einer der Entwickler in der Schweiz. Die Kriminellen behaupten, völlig apolitisch zu sein.
Interessantes Detail: Laut der Ransomware-Bande LockBit lebt einer der Entwickler in der Schweiz. Die Kriminellen behaupten, völlig apolitisch zu sein.screenshot: twitter

Welche Auswirkungen hat das Conti-Leak?

Das lässt sich noch nicht abschätzen.

Spezialisten des auf IT-Sicherheit spezialisierten Online-Mediums «Bleeping Computer» haben die geleakten Daten und Screenshots überprüft und kommen zum Schluss, dass das Material für Conti sehr schädlich sein könnte.

Aber nicht nur das! Das Leak könnte auch bislang unbekannten Opfern von Conti schaden. Also all denjenigen Unternehmen und Organisationen, die (heimlich) das geforderte Lösegeld bezahlten, um das Bekanntwerden eines Hackerangriffs zu vermeiden, um ihre Daten wieder zu entschlüsseln und die Weitergabe an Dritte zu verhindern.

In den kommenden Tagen würden die Daten von Strafverfolgungsbehörden und Sicherheitsforschern untersucht.

«Das Durchsickern dieser Mitteilungen ist ein schwerer Schlag für die Ransomware-Bande, da sie Forschern und Strafverfolgungsbehörden sensible Informationen über ihre internen Prozesse liefert.»
quelle: bleepingcomputer.com

Erste Reaktionen von IT-Sicherheitsexperten deuten auf einen beträchtlichen Schaden (für die Kriminellen) hin. So gibt es offenbar Hinweise auf ein bis dato unbekanntes Programm, das von Conti genutzt wird, um in fremden Systemen Malware auszuführen – Fachleute sprechen von einem «Loader».

Bild
screenshot: twitter

In den geleakten Chats wurden zudem hunderte Bitcoin-Adressen mit über 13 Millionen Dollar Lösegeld gefunden. Wobei dies allerdings nicht bedeutet, dass die entsprechenden Summen auch beschlagnahmt werden können.

Bild
screenshot: twitter

Aus den geleakten Chats geht offenbar auch hervor, dass die Conti-Bande eine in den USA verhaftete lettische Staatsangehörige mit 10'000 Dollar unterstützen wollen. Bei dieser Frau namens Alla Witte, in der Szene bekannt als «Allka», soll es sich um eine zentrale Figur hinter der berühmt-berüchtigten TrickBot-Malware handeln (dazu unten mehr).

Bild
screenshot: twitter

Wie sind die Daten geleakt worden?

Laut Bleeping Computer konnte der namentlich nicht genannte Sicherheitsforscher auf eine Datenbank zugreifen. Warum dies möglich war, geht nicht aus dem Bericht hervor.

Es handle sich um den Protokollserver für das Jabber-Kommunikationssystem der Conti-Bande. Dies sei auch von der Cybersicherheitsfirma Hold Security bestätigt worden.

Insgesamt gebe es seit dem 21. Januar 2021 bis heute 393 geleakte Dateien mit insgesamt 60'694 Nachrichten. Conti sei seit Juli 2020 aktiv, sodass das Leak zwar einen grossen Teil der internen Chats enthalte, aber nicht alle.

Wer sind die bekanntesten Opfer von Conti?

Zahlreiche grosse Wirtschaftsunternehmen sowie staatliche Organisationen im Westen. Unter anderem:

  • die Universität von Neuenburg
  • der Schweizer Storen-Hersteller Griesser
  • der Industriekonzern Habasit aus Reinach BL
  • die Münchner Touristikgruppe FTI Group

Conti hat auch Organisationen attackiert, bei denen IT-Ausfälle lebensbedrohliche Folgen haben können: Spitäler, Blaulicht-Organisationen und Strafverfolgungsbehörden.

Nach der erfolgreichen Attacke auf das irische Gesundheitssystem im Mai 2021 händigten die Angreifer der irischen Regierung überraschend die Freischaltcodes aus, drohten aber mit der Veröffentlichung von Patientendaten.

Update: Die Universität Neuenburg bestätigte am Montagabend gegenüber Keystone-SDA eine Meldung, die auf der Website der Zeitung «Le Temps» veröffentlicht worden war. Die Universitätsgemeinschaft wurde umgehend informiert und aufgefordert, das Passwort der Konten der Universität zu ändern.

Es sei Kontakt mit dem gemeinsamen Datenschutz- und Öffentlichkeitsbeauftragten der Kantone Neuenburg und Jura aufgenommen worden, wie es die Bundesgesetzgebung verlange, wenn sensible Daten verbreitet worden seien, erklärte die Universität. Bei der Polizei sei eine Anzeige erstattet worden.

Was ist speziell an dieser Ransomware?

Conti zählt zu den grössten und gefährlichsten Gruppierungen, die Verschlüsselungsattacken auf IT-Systeme anbieten. Dies wird als Ransomware-as-a-Service (RaaS) bezeichnet und bedeutet, dass Dritte die von Conti entwickelte und betriebene Software verwenden können, um ihrerseits Firmen und andere Organisationen zu erpressen.

Die unbekannten Hintermänner, die angeblich von Russland aus agieren, sollen bereits Erpressungsgelder in zwei- bis dreistelliger Millionenhöhe eingenommen haben.

Laut aktuellen Einschätzungen von Sicherheitsfachleuten hat Conti den Status eines international tätigen Verbrechersyndikats erreicht. Zuletzt sorgte eine Übernahme für Schlagzeilen in der IT-Sicherheitsbranche: Demnach wurden die Entwickler der bekannten TrickBot-Schadsoftware aufgekauft.

Die Benutzeroberfläche der von Conti entwickelten Software, mit der sich Ransomware-Attacken rund um den Globus steuern und überwachen lassen.
Die Benutzeroberfläche der von Conti entwickelten Software, mit der sich Ransomware-Attacken rund um den Globus steuern und überwachen lassen. screenshot: twitter

Die kriminellen Geschäftspartner von Conti – sogenannte «Affiliates» – erhalten Online-Zugriff auf die eigens für die Ransomware-Attacken entwickelte Steuerungsplattform. Sie umfasst eine Entschlüsselungs-App, ein Zahlungsgateway für die Opfer, einen Provisionsrechner, Überwachungstools und einen sicheren Chat für die Kommunikation mit Opfern.

«Diese Tools sind für technisch nicht versierte Benutzer konzipiert. Cyberkriminelle brauchen kein grosses technisches Know-how mehr, um erfolgreiche Angriffskampagnen durchzuführen.»
quelle: securityweek.com

Die Conti-Ransomware tauchte erstmals im Mai 2020 auf. Was das Schadprogramm von anderen Malware-Stämmen unterscheidet, ist laut IT-Sicherheitsexperten die Geschwindigkeit, mit der es sich in fremden Netzwerken auf verschiedene Systeme ausbreiten kann und die Dateien verschlüsselt. Betroffen sind nicht nur Windows-Server, sondern auch Linux-Rechner. Seit Dezember 2021 nutzten die kriminellen Entwickler auch die Log4j-Schwachstelle für Angriffe aus.

Das Geschäftsmodell der unbekannten Hintermänner basiert auf einer «doppelte Erpressung» (Double Extortion). Das heisst, dass die Angreifer nach dem unbemerkten Eindringen in ein System nicht nur Daten verschlüsseln, um anschliessend vom Opfer ein Lösegeld zu fordern. Vielmehr stehlen sie wertvolle Dateien und drohen damit, diese an Dritte zu verkaufen oder im Darknet zu leaken.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
Russische Hacker beeinflussen politische Debatten
Video: srf
Das könnte dich auch noch interessieren:
30 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Salvatore_M
28.02.2022 13:04registriert Januar 2022
Es tönt eigentlich sympathisch, wenn russische Hacker selbst gehackt werden. Es muss uns aber im Westen klar sein, dass der Cyberkrieg intensiviert wird. Russland wird nun ihre eigenen Hacker ermutigen, diejenigen Länder mit intensiveren Cyberangriffen zu überziehen, welche Sanktionen ergriffen haben und Waffen liefern. Es wird somit auch im digitalen Bereich zu mehr Scharmützeln kommen.
874
Melden
Zum Kommentar
avatar
Stefan Sowieso
28.02.2022 12:55registriert Juli 2020
Bitcoin. Hafen für Verbrecher. IT-Verbrechen sollte man wie Geiselnahme und Schwerverbrechen bestrafen.
7029
Melden
Zum Kommentar
avatar
Dörfu
28.02.2022 13:24registriert Januar 2019
Noch ein kleiner Tipp:
Wer immer noch Kaspersky Antivirus verwendet, sollte am besten seinen PC neu aufsetzen.
425
Melden
Zum Kommentar
30
Wie ein Pornostar ukrainischen Kriegsveteranen zurück ins Leben hilft

Durch einen Schlitz im Kleid blitzt das Bein einer jungen Frau. In gekonnter Pose setzt sie ihre elegante Abendrobe in Szene. An ihrer Seite steht ein Mann im Anzug und legt seinen Arm um sie.

Zur Story