Ein offenbar unzufriedener freier Mitarbeiter hat interne Dokumente der Bande hinter der Conti genannten Ransomware veröffentlicht. Sicherheitsforscher hatten die Dateien bereits am vergangenen Donnerstag auf dem von Cyberkriminellen viel genutzten russischsprachigen Forum "XSS" gefunden. Ein Nutzer, der sich m1Geelka nannte, schrieb dort, er sei mit dem Vorgehen der Bande unzufrieden und veröffentliche deshalb einige Dokumente der Kriminellen. Unter anderem fanden sich in den Dateien die IP-Adressen einiger Kontrollserver, mit denen die Conti-Gang offenbar eine Software namens Cobalt Strike bei ihren Angriffen betrieb, die eigentlich dazu gedacht ist, bei Tests Sicherheitslücken aufzuspüren.
Die Conti-Gang war zuletzt unter anderem für die Erpressung des Irischen Öffentlichen Gesundheitsdienstes HSE im Mai verantwortlich. Die Gruppe ist ebenfalls auf dem Radar des US-Geheimdienstes FBI, nachdem sie bis Mai mindestens 16 Dienstleister des dortigen Gesundheitswesens attackiert hatte.
Wer der Leaker ist, ist unklar, unabhängig nachprüfbar sind seine Aussagen auch nicht. Experten wie Mark Arena von der Cybersicherheitsfirma Intel 471 halten die Posts und die Dokumente allerdings für authentisch. Die nun geleakten Techniken decken sich mit dem, was IT-Fachleute bereits über Betreiber der Conti-Ransomware wissen. Arena zufolge ist es eher selten, dass derartige interne Dokumente der Erpresserbanden öffentlich werden. Das Leak gebe deshalb einen seltenen Einblick in die Arbeitsweise einer der Top-Ransomware-Gangs der vergangenen Monate.
Interne Anleitung für Ransomware-Erpresser
Offenbar ließ sich der Leaker als sogenannter "Pentester" anwerben, um die Arbeitsweise der Erpresser kennenzulernen. Normalerweise versteht man unter Pentester (kurz für Penetrations-Tester) IT-Sicherheitsfachleute, die versuchen Netzwerke zu hacken, um mögliche Schwachstellen zu identifizieren und zu stopfen. Die von den Ransomware-Gangs in einer ironischen Geste genauso genannten Mitarbeiter machen die gleiche Arbeit und nutzen die gleichen Werkzeuge. Nur geht es ihnen nicht darum, Lücken zu stopfen, sondern sie auszunutzen, um Verschlüsselungssoftware zu installieren. Der spätere Leaker wollte aber offenbar gar nicht arbeiten, sondern nur Informationen abgreifen, während er eigentlich für eine andere Bande arbeitete. Das fiel den Conti-Mitarbeitern auf, die ihn daraufhin rauswarfen. Das Leck sei als Racheaktion auf den Rauswurf zu verstehen, schrieb er in dem Forum.
Die Dokumente zeigen, wie systematisch die Angreifer mittlerweile vorgehen. Los geht es mit Schritt eins, bei dem der Jahresumsatz einer Firma gegoogelt wird. Dann gibt es Tipps und Werkzeuge zur Ausbreitung im Zielsystem und zum Ausspähen und Knacken weiterer Passwörter. Zuletzt werden noch Möglichkeiten aufgezeigt, wie die Hacker sich im System halten können, sollten sie einmal entdeckt und entfernt werden. Dazu werden bekannte Fernwartungssysteme wie AnyDesk oder Atera verwendet.
Das Leck sei zwar interessant, aber kein Gamechanger für die IT-Verteidiger, sagt Tilman Frosch vom IT-Sicherheitsunternehmen G Data. Conti sei schließlich nur eine von mehreren Gruppierungen. Die geleakten Informationen könnten im Einzelfall dennoch helfen, etwa um "eine bestehende Kompromittierung zu erkennen, bevor eine Ransomware aufgespielt wird." Dazu müsse der Kunden aber bereits ein sinnvolles Security Monitoring betreiben. "Das ist meist nicht der Fall", so Frosch.
Keine Ehre unter Dieben - aber Regeln
Die kleine Streiterei unter Cyberkriminellen zeigt: Es gibt keine Ehre unter Dieben. Ein Umstand, den auch Strafverfolger verstärkt ausnutzen könnten. So will die US-Regierung künftig bis zu zehn Millionen Dollar an anonyme Tippgeber zahlen, wenn sie Infos über Cyberangriffe auf US-Infrastruktur haben, zahlbar bequem in Kryptowährung. Wenn das Programm auf kriminelle Ransomware erweitert würde, könnte das für kleine freie Mitarbeiter der großen Banden ein guter Anreiz sein. Dem Leaker zufolge zahlen die Conti-Betreiber ihren Pentestern oft nur 1500 Dollar pro Erpressung, während die Bosse von den erpressten Firmen hohe Millionenbeträge verlangen. Der irische Gesundheitsdienst HSE etwa sollte 20 Millionen Dollar bezahlen.
Aus dem russischen Hackerforum wurde der Leaker schließlich verbannt. Allerdings nicht, weil er Mitglied einer kriminellen Vereinigung war, noch weil er die Werkzeuge eines Konkurrenten veröffentlicht hatte. Sondern weil er die Veröffentlichung nicht mit den Administratoren des Forums abgesprochen hatte. Das sei unbedingt notwendig, denn "andernfalls drohen Chaos, Durcheinander und Terror". So viel Ehre unter Dieben muss also doch sein.
