Ransomware-Gruppe Conti zerlegt sich selbst im Streit 

Ransomware-Gruppe Conti zerlegt sich selbst im Streit 

Beitrag teilen

Conti soll laut Experten mit Ransomware in den letzten Jahren bereits 2,5 Milliarden Dollar erpresst haben. Nun ist klar: die Gruppe ist in Russland beheimatet und hat sich intern hinter den russischen Angriffskrieg gestellt. Allerdings arbeiteten wohl einige Ukrainer oder Kriegsgegner in der Gruppe und waren damit nicht einverstanden. Nun wurden Chats und Codes geleakt und laut Experten auch die Kronjuwelen – der Quellcode.

Es war wohl keine Zufall, dass einem ukrainischen Sicherheitsforscher die Daten mit 60.000 internen Chats der Conti-Gruppe zugespielt wurden. Laut ersten Aussagen soll sich in den Chats zeigen, dass dort neben einem harten Business-Alltag auch die alltäglichen Probleme von Angestellten diskutiert wurden. Allerdings finden sich dort auch viele Code-Teile die so getauscht wurden und Gespräche über bestimmte Software-Mechanismen oder die Ausnutzung von Schwachstellen durch Exploits. Was exakt in den Chats steht, das wird wohl erst langsam in den nächsten Wochen bekannt werden.

Anzeige

Russland gegen Ukraine – auch intern bei Conti

Die Ransomware-Gruppe Conti soll laut Experten bereits bis zu 2,5 Milliarden Dollar durch Erpressung erbeutet haben. Die Experten vermuteten auch immer, dass Conti in Russland beheimatet ist. Nur beweisen konnte das bis jetzt noch niemand. Das muss man auch nicht mehr, den Conti hat das nebenbei selbst bestätigt. Intern hat sich die Führung der Gruppe im Chat auf die Seite von Russland gestellt und wohl angeordnet, dass man die Attacke auf die Ukraine unterstützen will. Conti werden auch enge Verbindungen zum russischen Geheimdienst FSB nachgesagt. Anscheinend arbeiteten in der Gruppe aber auch Ukrainer und Gegner des Krieges. Zumindest einer davon kopierte 60.000 Chats und übergab sie dem ukrainischen Sicherheitsforscher.

Conti Leak ist wahre Goldgrube

In den Chats finden sich wohl auch sehr viel verwendeter Codes für Malware. Als wären diese Infos und der auswertbare Code noch nicht genug: Der ukrainische Sicherheitsforscher hat bereits weitere 107.000 Chat-Nachrichten veröffentlicht. Diese sollen laut winfuture.de bis Mitte 2020 zurück gehen, also den Zeitraum, an dem Conti die Tätigkeit aufgenommen hat. Deren weitere Auswertung verspricht noch mehr Einblick in die Gruppe, ihre Strukturen und ihren Code.

Kronjuwelen gefunden – Experten jubeln

Laut der Webseite BleepingComputer entdeckte man auch den Quellcode für die Ransomware-Tool-Sammlung von Conti. Diese Daten waren zwar verschlüsselt, konnten aber wohl von einem Sicherheitsforscher geknackt werden. Und dann waren sie da, die Kronjuwelen: der Encryptor, der Decryptor und der Builder. Alles was man braucht um die Ransomware von Conti zu durchleuchten und ihre Mechanismen zu analysieren. Damit liegt nun der Ransomware-Quellcode offen.

Conti-Ransomware-Quellcode entschlüsselt

Mit diesem Wissen haben Sicherheitsforscher nun eine Menge Arbeit vor sich. Schließlich lassen sich mit diesen Wissen auch leichter Entschlüsselungs-Tools entwickeln. Das wäre auch gut, denn die Conti-Gruppe scheint vor kaum etwas zurückzuschrecken. Laut Golem.de soll sich in den Chats auch ein Absatz zu der Conti-Ransomware-Attacke im Oktober 2020 auf knapp 430 medizinische Einrichtungen in den USA befunden haben. Dort steht „Scheiß auf die Kliniken in den USA diese Woche.“ Und weiter: „Es wird Panik geben. 428 Krankenhäuser.“ Aber das war der Gruppe alles egal.

Mehr bei BleepingComputer.com

 

Passende Artikel zum Thema

Wie Bedrohungsakteure Gemini für Angriffe nutzen

Die Google Threat Intelligence Group (GTIG) hat einen neuen Bericht „Adversarial Misuse of Generative AI“ veröffentlicht, in dem die Sicherheitsexperten ➡ Weiterlesen

Supply Chain Risk Report

Ein Anbieter von Lösungen für das Nachhaltigkeitsmanagement in Unternehmen hat seinen Supply Chain Risk Report 2025 veröffentlicht. Dieser Bericht umfasst ➡ Weiterlesen

Sicherheitslücke in AWS ermöglichte Angriff auf Amazon-Cloud-Instanzen

Amazon Web Services (AWS) ist für viele Unternehmen das Rückgrat ihrer digitalen Infrastruktur. Doch eine Entdeckung von Datadog zeigte: Eine ➡ Weiterlesen

Engagierte IT-Admins als Risikofaktor

Sogar Cybersecurity-Experten, die sich den ganzen Tag mit nichts anderem als IT-Sicherheit beschäftigen, haben heute Mühe, sich auf dem aktuellen ➡ Weiterlesen

SaaS für Sicherheitsbewertung von Active Directory und Entra ID

Eine neue SaaS-Lösung ist in der Lage eine Sicherheitsbewertung abzugeben für Active Directory und Entra ID Umgebungen. Die Online-Bewertung der ➡ Weiterlesen

Report: Weltweiter Ransomware-Anstieg – Deutschland verbessert 

Weltweit steigt die Zahl der Ransomware-Attacken, in Deutschland jedoch sank sie aufgrund stärkerer Regulierungen und Gegenmaßnahmen. Dennoch bleibt Deutschland im ➡ Weiterlesen

2025: Cybersicherheit im Öffentlichen Sektor und KRITIS

Das Jahr 2025 ist kaum gestartet und doch schon in vollem Gange. Die aktuelle weltweite unsichere Lage wirkt sich auch ➡ Weiterlesen

Whitepaper: Threat Intelligence verhindert Cyberangriffe

[wpcode id="17192"] Kaspersky-Studie: 66 Prozent der Unternehmen in Deutschland verhindern Cyberangriffe durch Threat Intelligence / Data Feeds In 75 Prozent ➡ Weiterlesen