Advertisements
Advertisements
Tech

Geheimnisse der Ransomware-Bande wurden verschüttet, nachdem sie ihre Unterstützung für Russland angekündigt hatte

Bildnachweis: CC0 Public Domain

Am 25. Februar drückte eine berüchtigte Ransomware-Gruppe namens Conti ihre Unterstützung für Russland aus, als das Land in die Ukraine einmarschierte. Es stellte sich als schlechte Idee heraus: Tage später wurde eine riesige Fundgrube an Geheimnissen der Bande geleakt.

Die Daten enthalten Details zu bestimmten Hacking-Kampagnen, Bitcoin-Geldbörsen, die von der Bande verwendet werden, und Grübeleien über die Zukunft der Kryptowährung als Instrument zur Geldwäsche. In einer Chat-Nachricht drückte ein Mitglied von Conti seine Wut darüber aus, dass jemand, der mit seiner Gruppe in Verbindung steht, eine Website in Russland ins Visier genommen hatte („Solche D—-Köpfe“, diese Person nannte Kollegen). Ein anderer beschrieb einen versuchten Hack auf einen Mitarbeiter eines investigativen Journalismus, der die mutmaßliche Vergiftung eines prominenten Kreml-Kritikers untersuchte („Bro, vergiss Nawalny nicht“).

Die Akten enthüllten auch das Äquivalent der organisierten Kriminalität zu Eigentumsgeheimnissen: Einzelheiten über die Verwendung bestimmter Malware-Tools durch die Bande und Einblicke in ihre Verhandlungstechniken. Zusammengenommen, sagten Experten gegenüber Bloomberg News, hat das Conti-Leck möglicherweise mehr dazu beigetragen, seine Mitglieder zu entlarven und seine Methoden zu untergraben, als Ermittlungen von Strafverfolgungsbehörden und Sicherheitsfirmen. Die Akten enthüllen die Organisationsstruktur der Gruppe und Hinweise auf die Techniken, die verwendet werden, um der Polizei einen Schritt voraus zu sein, was wertvolle Informationen darstellt.

Während Gespräche und Verhandlungen mit Hackern schon früher durchgesickert sind, haben nur wenige den Umfang und die Details der Conti-Fundgrube erreicht. Es bietet einen beispiellosen Blick hinter die Kulissen einer Gruppe, die im vergangenen Jahr gefälschte E-Mail-Anhänge, gestohlene Passwörter und Telefonanrufe verwendet hat, um mehr als 200 Millionen US-Dollar von ihren Opfern zu erpressen, sagte die Kryptowährungs-Tracking-Firma Chainalysis Inc. gegenüber Bloomberg News.

Mehrere Sicherheitsexperten bestätigten, dass der Fund legitim war. Sie boten verschiedene Theorien darüber an, wie Contis Akten veröffentlicht wurden, wobei einige auf ein Leck eines ukrainischen Mitglieds der Bande oder vielleicht eines Forschers mit Insider-Zugang hindeuteten. Conti ist sowohl eine Art Ransomware als auch der Name der Gruppe dahinter. Es wurde erstmals im Jahr 2020 beobachtet und nutzt das „Ransomware-as-a-Service“-Modell, bei dem neue Hackergruppen Schadsoftware an „Affiliates“ gegen eine Kürzung der Erlöse vermieten. Sie ist bekannt für ihre Rücksichtslosigkeit, ihre Angriffe auf Krankenhäuser während der COVID-19-Epidemie und die Lähmung des irischen Gesundheitssystems im vergangenen Jahr.

Die Hacker-Gruppe benutzte Scheinfirmen, um Vertriebsmitarbeiter von legitimen Sicherheitsanbietern wie Sophos und Carbon Black zu kontaktieren, um Muster von Antivirus-Softwareangeboten zu erhalten, wie Dokumente zeigen. Durch das Testen von Malware gegen weit verbreitete Sicherheitstools könnte Conti Schwachstellen in der Technologie finden, um beliebte Cyberprodukte zu umgehen, sagte Dave Kennedy, Mitbegründer der Sicherheitsfirma TrustedSec, die Conti seit Jahren verfolgt.

„Wir haben unzählige Stunden damit verbracht, diese Gruppe zu recherchieren und woher sie kommen“, sagte er. „Dieses Leck liefert viele Daten darüber, wie sie Operationen durchführen, sodass wir unsere eigene Verteidigung verbessern und herausfinden können, wie sie funktionieren würden. Es ist ziemlich großartig.“ Ziele seien häufig kleine und mittelständische Unternehmen oder Organisationen in Entwicklungsländern, sagte er. Als Antwort auf eine Bitte um Stellungnahme teilte ein Sophos-Vertreter in einer E-Mail mit, dass das Unternehmen das Conti-Konto als verdächtig gekennzeichnet habe, als Hacker versuchten, etwas einzukaufen Sophos-Software, und die Gruppe brach die Transaktion ab. Carbon Black hat auf eine Bitte um Stellungnahme nicht geantwortet.

Die Protokolle zeigen auch, wie Conti und seine Tochtergesellschaften jede Woche mehrere Unternehmen infiltrierten und Ideen über die besten Tricks austauschten, um die Opfer zur Zahlung zu bewegen. In einem durchgesickerten Gespräch diskutierten Hacker, ob sie einem Ransomware-Opfer eine Probe gestohlener Daten schicken sollten, um zu beweisen, dass sie das Unternehmen verletzt haben. Zu anderen Zeiten diskutierten sie die Wahrscheinlichkeit, dass ein Opfer verschlüsselte Daten aus der Cloud herunterladen könnte, wodurch der Anreiz zur Zahlung eines Lösegelds beseitigt würde.

Ein Hacker namens Professor sagte seinen Mitarbeitern, er wolle die Daten eines kleinen kalifornischen Unternehmens, das sich auf landwirtschaftliche Arbeitsverträge spezialisiert habe, nicht durchsickern lassen, da es unrealistisch gewesen wäre, die Informationen des Unternehmens aufgrund von Problemen mit dem Netzwerk des Opfers zu sammeln und zu veröffentlichen. Das Unternehmen zahlte das Lösegeld letztendlich nicht und entschied sich stattdessen dafür, seine Daten aus einem kürzlich erstellten Backup wiederherzustellen. „Wir wollten Kriminelle einfach nicht bezahlen“, sagte Luis Romero, ein Büroleiter bei Hall Ag Enterprises, das im Oktober 2020 für einen Tag geschlossen hatte, nachdem Conti 700.000 US-Dollar gefordert hatte, eine Gebühr, die sich das Unternehmen seiner Meinung nach nicht leisten konnte.

Innerhalb von zwei Tagen zog Conti weiter und nahm Angelica Corp. ins Visier, ein in Illinois ansässiges Unternehmen für Gesundheitsprodukte. Die Hacker sammelten Vertragsinformationen, Unternehmensprognosen und persönliche Daten und versuchten damit, das Opfer zur Zahlung einzuschüchtern, heißt es in den Dokumenten. Angelica antwortete nicht auf eine Bitte um Stellungnahme.

Andere amerikanische Firmen wie Shook Construction, der Logistikmakler Western Overseas Corp. und ein Hersteller namens Varroc Lighting Systems Inc. waren laut Chatprotokollen alle im Fadenkreuz. Die drei Unternehmen antworteten nicht auf Anfragen mit der Bitte um Stellungnahme.

Bloomberg News fand mehrere Dutzend Kryptowährungs-Wallets unter den Chat-Protokollen, die sich am Mittwoch auf mehr als 12 Millionen US-Dollar summierten, eine Zahl, die je nach Bitcoin-Wert variierte. Gangmitglieder nutzten die in den Chatprotokollen enthaltenen Brieftaschen, um in ihre technische Infrastruktur zu reinvestieren, Affiliate-Kunden zu bezahlen und Bitcoin an andere Malware-Betreiber zu senden, wie z.

„Wir können an diesem Leck sehen, dass Conti aus verschiedenen Banden und Gruppen besteht, aber sie operieren auch etwas autonom“, sagte sie.

Sie hatten auch politische Ziele und verfolgten Berichten zufolge einen Mitarbeiter der investigativen Journalistengruppe Bellingcat, weil er die angebliche Vergiftung des Kremlkritikers Alexey Nawalny untersucht hatte.

Christo Grozev, Executive Director von Bellingcat, bestätigte auf Twitter, dass damals ein Mitwirkender ins Visier genommen worden war.

Wie einige andere Ransomware-Banden scheint Conti russische Ziele zu meiden. Die Chats deuten darauf hin, dass ein mittlerer Manager namens Troy einem solchen Angriffsversuch ein Ende bereitet hat. „Nicht diese hier. Sie wird entfernt“, schrieb Troy. „Sie sollten für so etwas verprügelt werden. Was wäre, wenn ich das nicht bemerkt hätte? Dann wären wir f——ed.“

Cybersicherheitsforscher sagten, der Rückzug sei ein weiterer Beweis für die stillschweigende Zustimmung, die Russland bestimmten Cyberkriminellen gibt – solange sie keine Unternehmen innerhalb seiner Grenzen angreifen.

Vermutete Verbindungen zwischen russischen Geheimdiensten und Cyberkriminellen wurden bereits öffentlich gemacht. Das US-Finanzministerium beschuldigte 2019 den mutmaßlichen Anführer der Hacking-Gruppe Evil Corp., Maksim Yakubets, „direkte Unterstützung“ für vom Kreml gesponserte Cyber-Bemühungen geleistet zu haben. Die Staatsanwaltschaft hat auch eine Reihe mutmaßlicher russischer Hacker der Zusammenarbeit mit dem Föderalen Sicherheitsdienst (FSB) aus dem Jahr 2012 angeklagt.

Ein Sprecher der russischen Botschaft in Washington antwortete nicht auf eine Anfrage mit der Bitte um Stellungnahme. Russland hat zuvor bestritten, an böswilligen Cyberangriffen beteiligt zu sein.

„Bei dieser speziellen Gruppe scheint es, als hätten sie eine Beziehung zu einer russischen Regierungsgruppe“, sagte John Fokker, Leiter der Cyber-Ermittlungen bei der Sicherheitsfirma Trellix und ehemaliges Mitglied einer niederländischen Polizeieinheit, die fortgeschrittene Hacker untersucht. „Wenn Sie Gespräche sehen wie ‚Wir sollten diese Organisation nicht treffen, weil wir sonst verarscht werden‘, ist das nicht die Art von Dingen, die Sie oft in solchen Chats sehen.“


Die Ransomware-Gang sagt, sie habe das Fußballteam der 49ers gehackt


©2022 Bloomberg LP Besuchen Sie bloomberg.com. Vertrieb durch Tribune Content Agency, LLC.

Zitat: Geheimnisse der Ransomware-Gang wurden verschüttet, nachdem sie ihre Unterstützung für Russland angekündigt hatte (2022, 9. März), abgerufen am 9. März 2022 von https://techxplore.com/news/2022-03-secrets-ransomware-gang-russia.html

Dieses Dokument ist urheberrechtlich geschützt. Abgesehen von einem fairen Handel zum Zwecke des privaten Studiums oder der Forschung darf kein Teil ohne schriftliche Genehmigung reproduziert werden. Der Inhalt dient nur zu Informationszwecken.


💙 Intern: Weil wir unabhängig sind, sowie keinen "unendlichen" Gewinn anstreben, geben wir in jedem Monat ungefähr ein drittel, aller Einnahmen aus Werbung und Spenden an die Katastrophenschutzhilfe. 
Wir freuen uns auch über jede kleine Spende z.B. über PayPal.

Ähnliche Artikel.

Der New York City Recovery Index: 9. Mai

Anmerkung des Herausgebers: Nachfolgend finden Sie die Veröffentlichung des NYC Recovery Index für Woche 88, der ursprünglich am 10. Mai 2022 veröffentlicht wurde. Besuchen Sie die Homepage des NYC…

1 of 670