Conti soll laut Experten mit Ransomware in den letzten Jahren bereits 2,5 Milliarden Dollar erpresst haben. Nun ist klar: die Gruppe ist in Russland beheimatet und hat sich intern hinter den russischen Angriffskrieg gestellt. Allerdings arbeiteten wohl einige Ukrainer oder Kriegsgegner in der Gruppe und waren damit nicht einverstanden. Nun wurden Chats und Codes geleakt und laut Experten auch die Kronjuwelen – der Quellcode.
Es war wohl keine Zufall, dass einem ukrainischen Sicherheitsforscher die Daten mit 60.000 internen Chats der Conti-Gruppe zugespielt wurden. Laut ersten Aussagen soll sich in den Chats zeigen, dass dort neben einem harten Business-Alltag auch die alltäglichen Probleme von Angestellten diskutiert wurden. Allerdings finden sich dort auch viele Code-Teile die so getauscht wurden und Gespräche über bestimmte Software-Mechanismen oder die Ausnutzung von Schwachstellen durch Exploits. Was exakt in den Chats steht, das wird wohl erst langsam in den nächsten Wochen bekannt werden.
Russland gegen Ukraine – auch intern bei Conti
Die Ransomware-Gruppe Conti soll laut Experten bereits bis zu 2,5 Milliarden Dollar durch Erpressung erbeutet haben. Die Experten vermuteten auch immer, dass Conti in Russland beheimatet ist. Nur beweisen konnte das bis jetzt noch niemand. Das muss man auch nicht mehr, den Conti hat das nebenbei selbst bestätigt. Intern hat sich die Führung der Gruppe im Chat auf die Seite von Russland gestellt und wohl angeordnet, dass man die Attacke auf die Ukraine unterstützen will. Conti werden auch enge Verbindungen zum russischen Geheimdienst FSB nachgesagt. Anscheinend arbeiteten in der Gruppe aber auch Ukrainer und Gegner des Krieges. Zumindest einer davon kopierte 60.000 Chats und übergab sie dem ukrainischen Sicherheitsforscher.
Conti Leak ist wahre Goldgrube
In den Chats finden sich wohl auch sehr viel verwendeter Codes für Malware. Als wären diese Infos und der auswertbare Code noch nicht genug: Der ukrainische Sicherheitsforscher hat bereits weitere 107.000 Chat-Nachrichten veröffentlicht. Diese sollen laut winfuture.de bis Mitte 2020 zurück gehen, also den Zeitraum, an dem Conti die Tätigkeit aufgenommen hat. Deren weitere Auswertung verspricht noch mehr Einblick in die Gruppe, ihre Strukturen und ihren Code.
Kronjuwelen gefunden – Experten jubeln
Laut der Webseite BleepingComputer entdeckte man auch den Quellcode für die Ransomware-Tool-Sammlung von Conti. Diese Daten waren zwar verschlüsselt, konnten aber wohl von einem Sicherheitsforscher geknackt werden. Und dann waren sie da, die Kronjuwelen: der Encryptor, der Decryptor und der Builder. Alles was man braucht um die Ransomware von Conti zu durchleuchten und ihre Mechanismen zu analysieren. Damit liegt nun der Ransomware-Quellcode offen.
Conti-Ransomware-Quellcode entschlüsselt
Mit diesem Wissen haben Sicherheitsforscher nun eine Menge Arbeit vor sich. Schließlich lassen sich mit diesen Wissen auch leichter Entschlüsselungs-Tools entwickeln. Das wäre auch gut, denn die Conti-Gruppe scheint vor kaum etwas zurückzuschrecken. Laut Golem.de soll sich in den Chats auch ein Absatz zu der Conti-Ransomware-Attacke im Oktober 2020 auf knapp 430 medizinische Einrichtungen in den USA befunden haben. Dort steht “Scheiß auf die Kliniken in den USA diese Woche.” Und weiter: “Es wird Panik geben. 428 Krankenhäuser.” Aber das war der Gruppe alles egal.
Mehr bei BleepingComputer.com