Conti: Die Ransomware-Gruppe, die Mitarbeiter schlecht behandelt

Conti gehört zu den großen Ransomware-Gruppen und soll in den vergangenen Jahren 2,5 Milliarden Euro von Unternehmen und Behörden erpresst haben. Dabei verhält sich die russische Ransomware-Gruppe wie ein mittelständisches Unternehmen, in dem mürrische Chefs Berichte von den Angestellten anfordern und neue Mitarbeiter von der Personalabteilung rekrutiert werden. Gleichzeitig verliert Conti immer wieder Geld, weil sie Server und Domains nicht bezahlen kann.

Die ungewöhnlich tiefen Einblicke in eine Ransomware-Gruppe stammen aus internen Chats, die in Folge einer pro-russischen Positionierung der Gruppe im Ukraine-Krieg geleakt wurden. "Sollte sich jemand dazu entschließen, einen Cyberangriff oder irgendwelche Kriegsaktivitäten gegen Russland zu organisieren, werden wir alle unsere möglichen Ressourcen einsetzen, um die kritischen Infrastrukturen eines Feindes anzugreifen", heißt es in einem Blogeintrag der Ransomware-Gruppe.

Anfangs wurde angenommen, dass die Chats von einem ukrainisch-stämmigen Mitglied der Gruppe geleakt wurden. Der Journalist Brian Krebs geht allerdings davon aus, dass es sich bei dem Leaker um einen ukrainischen Sicherheitsforscher handelt. Denn die Infrastruktur von Conti wurde zeitweise demontiert und immer wieder von Sicherheitsforschern, Strafverfolgungsbehörden und Geheimdiensten infiltriert. Insgesamt wurden zehntausende Nachrichten über den Twitter-Account Contileaks veröffentlicht, die tiefe Einsichten in die Arbeitsweise und Struktur der Ransomware-Gruppe bieten - die es vor allem auf große Unternehmen abgesehen hat.

Kritik an Arbeitsbedingungen und niedrigem Gehalt

Demnach hat Conti über 100 Angestellte und gleicht mit verschiedenen Abteilungen mit eigenen Budgets strukturell einem mittelständischen Unternehmen. Daneben gibt es eine Abteilung Administration, die sich um Auf- und Abbau von Servern und anderen Angriffsinfrastrukturen kümmert, sowie Abteilungen, die sich um das Programmieren oder Testen der Schadsoftware kümmern. Daneben gibt es auch eine Personalabteilung, die ständig auf der Suche nach neuen Mitarbeitern ist und Bewerbungsgespräche durchführt.

Dabei hat es die Personalabteilung laut der internen Chats gar nicht so leicht. So erzählte ein Conti-Manager mit dem Nicknamen Mango im Juli 2021 von geschalteten Anzeigen in mehreren russischsprachigen Cybercrime-Foren, mit denen Mitarbeiter gewonnen werden sollten. "In der Anzeige steht ein Gehalt von 2.000 Dollar, aber es gibt viele Kommentare, dass wir Galeerensklaven rekrutieren", schreibt Mango an Stern, laut Krebs eine Art mürrischer Aufseher, der laufend Berichte von den Angestellten einfordert.

"Natürlich bestreiten wir das und sagen, dass diejenigen, die arbeiten und Ergebnisse liefern, mehr verdienen können, aber es gibt Beispiele von Programmierern, die normal arbeiten und 5 bis 10 Tausend Dollar verdienen", schreibt Mango weiter. Doch nicht nur in Cybercrime-Foren hagelt es solche Kritik, auch die Conti-Angestellten kritisieren demnach die Arbeitsbedingungen.

So beschweren sich die Angestellten im Conti-Chatroom über tagelanges Arbeiten ohne Pausen und Schlaf, während die Führungskräfte ihre wiederholten Bitten um etwas Freizeit ignorierten. Dabei hatte Conti laut den Chats ohnehin Probleme, Angestellte für die zermürbende und repetitive Arbeit zu finden oder zu halten, die im Vergleich zur Spitze der Ransomware-Gruppe nicht besonders gut bezahlt war: Demnach verdienten die meisten Angestellten zwischen 1.000 und 2.000 US-Dollar im Monat.