Die berüchtigte Ransomware-Bande Conti, zu deren bekannten Opfern einige Schweizer Unternehmen und zuletzt die Universität von Neuenburg zählten, ist selber von einem massiven Daten-Leak betroffen. Ein Sicherheitsforscher hat interne Chats der kriminellen Vereinigung an Journalisten und IT-Sicherheitsexperten weitergegeben.
Zuvor hatte Conti öffentlich mit Vergeltungsmassnahmen gegen den Westen gedroht, falls sich die USA und Verbündete in den Krieg einmischen würden. Ein schwerer Fehler ...
Conti gilt als eine der weltgrössten und gefährlichsten Ransomware-Banden – mit Dutzenden aktiven Mitgliedern mutmasslich in Russland und anderen osteuropäischen Ländern. Doch nun sieht sich die kriminelle Vereinigung selber mit einem potenziell desaströsen Leak konfrontiert.
Ein ukrainischer Sicherheitsforscher hat über 60'000 interne Chat-Nachrichten der Ransomware-Bande durchsickern lassen, nachdem sich Conti wegen der Invasion in der Ukraine auf die Seite Russlands gestellt hatte.
Zunächst war angenommen worden, dass es sich beim Leaker um ein Bandenmitglied ukrainischer Herkunft handelt. Dann stellte es sich heraus, dass die verräterischen Daten von einem ukrainischen Sicherheitsforscher stammten, der offenbar Zugriff auf die entsprechende Datenbank hatte.
Interessant aus Schweizer Sicht: Die Conti-Bande ist für zahlreiche Ransomware-Attacken auf hiesige Unternehmen und staatliche Organisationen verantwortlich. Es dürfen längst nicht alle Opfer bekannt sein – doch dies könnte sich nun ändern, wie wir weiter unten sehen werden.
Das jüngste Bekennerschreiben der Kriminellen betrifft die Universität von Neuenburg. Die Bildungsinstitution hatte in der Nacht auf den 18. Februar 2022 ihre Server herunterfahren und den IT-Betrieb einstellen müssen.
Am Montag prangte auf der Leak-Site von Conti das kürzlich veröffentlichte Bekennerschreiben zum Angriff auf die Schweizer Universität direkt neben der Botschaft, die offenbar zum Zerwürfnis der kriminellen Vereinigung führte.
Die Conti-Anführer hatten nach der russischen Invasion in der Ukraine am vergangenen Freitag eine aggressive pro-russische Botschaft auf ihrer Darknet-Seite veröffentlicht.
Darin sicherten sie der russischen Regierung die volle Unterstützung für ihren Angriff auf die Ukraine zu. Und sie drohten dem Westen mit Attacken gegen «Kritische Infrastrukturen», falls es zu Cyberangriffen gegen Russland komme.
Weil sich laut Insider-Berichten die ukrainischen Bandenmitglieder über die Pro-Russland-Positionierung nervten, schwächte Conti die Botschaft auf der eigenen Leak-Seite ab und erklärte, dass man «sich mit keiner Regierung verbünde» und «den andauernden Krieg» verurteile.
Die abgeänderte, nicht minder fragwürdige Botschaft der kriminellen Gruppierung lautet nun:
Der Sinneswandel der pro-russischen Conti-Anführer kam jedoch zu spät, und der ukrainische Sicherheitsforscher kündigte in seiner E-Mail an die Journalisten bereits an, dass noch weitere Daten-Veröffentlichung («Dumps») kämen.
Sicher ist auf jeden Fall, dass andere aus Russland und der Ukraine agierende Ransomware-Banden aufgeschreckt wurden. So schrieb zum Beispiel die LockBit-Bande in einer sehr neutral formulierten Nachricht, die am Sonntag veröffentlicht wurde, dass sie sich auf keine Seite stellen wolle.
Das lässt sich noch nicht abschätzen.
Spezialisten des auf IT-Sicherheit spezialisierten Online-Mediums «Bleeping Computer» haben die geleakten Daten und Screenshots überprüft und kommen zum Schluss, dass das Material für Conti sehr schädlich sein könnte.
Aber nicht nur das! Das Leak könnte auch bislang unbekannten Opfern von Conti schaden. Also all denjenigen Unternehmen und Organisationen, die (heimlich) das geforderte Lösegeld bezahlten, um das Bekanntwerden eines Hackerangriffs zu vermeiden, um ihre Daten wieder zu entschlüsseln und die Weitergabe an Dritte zu verhindern.
In den kommenden Tagen würden die Daten von Strafverfolgungsbehörden und Sicherheitsforschern untersucht.
Erste Reaktionen von IT-Sicherheitsexperten deuten auf einen beträchtlichen Schaden (für die Kriminellen) hin. So gibt es offenbar Hinweise auf ein bis dato unbekanntes Programm, das von Conti genutzt wird, um in fremden Systemen Malware auszuführen – Fachleute sprechen von einem «Loader».
In den geleakten Chats wurden zudem hunderte Bitcoin-Adressen mit über 13 Millionen Dollar Lösegeld gefunden. Wobei dies allerdings nicht bedeutet, dass die entsprechenden Summen auch beschlagnahmt werden können.
Aus den geleakten Chats geht offenbar auch hervor, dass die Conti-Bande eine in den USA verhaftete lettische Staatsangehörige mit 10'000 Dollar unterstützen wollen. Bei dieser Frau namens Alla Witte, in der Szene bekannt als «Allka», soll es sich um eine zentrale Figur hinter der berühmt-berüchtigten TrickBot-Malware handeln (dazu unten mehr).
Laut Bleeping Computer konnte der namentlich nicht genannte Sicherheitsforscher auf eine Datenbank zugreifen. Warum dies möglich war, geht nicht aus dem Bericht hervor.
Es handle sich um den Protokollserver für das Jabber-Kommunikationssystem der Conti-Bande. Dies sei auch von der Cybersicherheitsfirma Hold Security bestätigt worden.
Insgesamt gebe es seit dem 21. Januar 2021 bis heute 393 geleakte Dateien mit insgesamt 60'694 Nachrichten. Conti sei seit Juli 2020 aktiv, sodass das Leak zwar einen grossen Teil der internen Chats enthalte, aber nicht alle.
Zahlreiche grosse Wirtschaftsunternehmen sowie staatliche Organisationen im Westen. Unter anderem:
Conti hat auch Organisationen attackiert, bei denen IT-Ausfälle lebensbedrohliche Folgen haben können: Spitäler, Blaulicht-Organisationen und Strafverfolgungsbehörden.
Nach der erfolgreichen Attacke auf das irische Gesundheitssystem im Mai 2021 händigten die Angreifer der irischen Regierung überraschend die Freischaltcodes aus, drohten aber mit der Veröffentlichung von Patientendaten.
Update: Die Universität Neuenburg bestätigte am Montagabend gegenüber Keystone-SDA eine Meldung, die auf der Website der Zeitung «Le Temps» veröffentlicht worden war. Die Universitätsgemeinschaft wurde umgehend informiert und aufgefordert, das Passwort der Konten der Universität zu ändern.
Es sei Kontakt mit dem gemeinsamen Datenschutz- und Öffentlichkeitsbeauftragten der Kantone Neuenburg und Jura aufgenommen worden, wie es die Bundesgesetzgebung verlange, wenn sensible Daten verbreitet worden seien, erklärte die Universität. Bei der Polizei sei eine Anzeige erstattet worden.
Conti zählt zu den grössten und gefährlichsten Gruppierungen, die Verschlüsselungsattacken auf IT-Systeme anbieten. Dies wird als Ransomware-as-a-Service (RaaS) bezeichnet und bedeutet, dass Dritte die von Conti entwickelte und betriebene Software verwenden können, um ihrerseits Firmen und andere Organisationen zu erpressen.
Die unbekannten Hintermänner, die angeblich von Russland aus agieren, sollen bereits Erpressungsgelder in zwei- bis dreistelliger Millionenhöhe eingenommen haben.
Laut aktuellen Einschätzungen von Sicherheitsfachleuten hat Conti den Status eines international tätigen Verbrechersyndikats erreicht. Zuletzt sorgte eine Übernahme für Schlagzeilen in der IT-Sicherheitsbranche: Demnach wurden die Entwickler der bekannten TrickBot-Schadsoftware aufgekauft.
Die kriminellen Geschäftspartner von Conti – sogenannte «Affiliates» – erhalten Online-Zugriff auf die eigens für die Ransomware-Attacken entwickelte Steuerungsplattform. Sie umfasst eine Entschlüsselungs-App, ein Zahlungsgateway für die Opfer, einen Provisionsrechner, Überwachungstools und einen sicheren Chat für die Kommunikation mit Opfern.
Die Conti-Ransomware tauchte erstmals im Mai 2020 auf. Was das Schadprogramm von anderen Malware-Stämmen unterscheidet, ist laut IT-Sicherheitsexperten die Geschwindigkeit, mit der es sich in fremden Netzwerken auf verschiedene Systeme ausbreiten kann und die Dateien verschlüsselt. Betroffen sind nicht nur Windows-Server, sondern auch Linux-Rechner. Seit Dezember 2021 nutzten die kriminellen Entwickler auch die Log4j-Schwachstelle für Angriffe aus.
Das Geschäftsmodell der unbekannten Hintermänner basiert auf einer «doppelte Erpressung» (Double Extortion). Das heisst, dass die Angreifer nach dem unbemerkten Eindringen in ein System nicht nur Daten verschlüsseln, um anschliessend vom Opfer ein Lösegeld zu fordern. Vielmehr stehlen sie wertvolle Dateien und drohen damit, diese an Dritte zu verkaufen oder im Darknet zu leaken.
Wer immer noch Kaspersky Antivirus verwendet, sollte am besten seinen PC neu aufsetzen.