Versteckspiel mit dem Windows Defender und unbezahlte Rechnungen

"Unsere Arbeit ist im Allgemeinen nicht schwierig, sondern eintönig, da wir jeden Tag das Gleiche tun", schrieb der Conti-Mitarbeiter Bentley, der offenbar für die Tarnung der Schadsoftware zuständig war, damit Antivirenprogramme sie nicht erkennen. "Im Wesentlichen geht es darum, Dateien zu starten und sie anhand des Algorithmus zu überprüfen."

Die Tests der Malware müssten etwa alle vier Stunden wiederholt werden, um zu prüfen, ob die in Windows integrierte Sicherheitssoftware Windows Defender den Code beeinträchtigt. "Ungefähr alle 4 Stunden wird ein neues Update der Defender-Datenbanken veröffentlicht", erklärte Bentley. "Man muss 8 Stunden vor 20-21 Uhr Moskauer Zeit arbeiten. Und ein beruflicher Aufstieg ist möglich."

Eine Abteilung für Spam gibt es jedoch nicht, dieses Geschäft wird offensichtlich ausgelagert. Aus den Chats ergibt sich zudem, dass Conti auf die Dienste von Trickbot und Emotet zurückgegriffen hat. Emotet soll demnach weitgehend dieselbe Organisationsstruktur wie Conti gehabt haben und mehr als 50 Mitarbeiter beschäftigt haben.

Ebenfalls wird klar, dass die Ransomware-Gruppe vor nichts zurückschreckt. Als im Oktober 2020 428 medizinische Einrichtungen in den USA mit der Ransomware infiziert wurden, schreibt ein Conti-Manager: "Scheiß auf die Kliniken in den USA diese Woche." Und weiter: "Es wird Panik geben. 428 Krankenhäuser."

Nicht bezahlte Rechnungen

In den Conti-Chats finden sich aber auch mehrmals pro Woche Nachrichten von Angestellten, die die digitale Infrastruktur der Gruppe verwalten. Sie klagen über fehlendes Budget und überfällige Rechnungen für registrierte Domains, virtuelle Server und andere Infrastruktur.

So beschwerte sich ein Conti-Angestellter mit dem Nickname Carter am 31. März 2021, dass 1.240 US-Dollar in einem Bitcoin-Topf fehlten, der für die Bezahlung von VPN-Abonnements, Antivirus-Produktlizenzen, neuen Servern und Domain-Registrierungen vorgesehen ist. Eine ähnliche Nachricht schreibt er im November: "Hallo, wir haben keine Bitcoins mehr, vier neue Server, drei VPN-Abonnements und 22 Verlängerungen sind abgelaufen." Er schließt mit der Bitte, dass umgehend Bitcoins an das entsprechende Wallet gesendet werden sollten.

Aus den Chats zieht Krebs das Fazit: "Insgesamt habe ich den Eindruck gewonnen, dass Conti eine äußerst effektive - wenn auch bemerkenswert ineffiziente - cyberkriminelle Organisation ist."