Conti: Die Ransomware-Gruppe, die Mitarbeiter schlecht behandelt
Conti gehört zu den großen Ransomware-Gruppen und soll in den vergangenen Jahren 2,5 Milliarden Euro von Unternehmen und Behörden erpresst haben. Dabei verhält sich die russische Ransomware-Gruppe wie ein mittelständisches Unternehmen, in dem mürrische Chefs Berichte von den Angestellten anfordern und neue Mitarbeiter von der Personalabteilung rekrutiert werden. Gleichzeitig verliert Conti immer wieder Geld, weil sie Server und Domains nicht bezahlen kann.
Die ungewöhnlich tiefen Einblicke in eine Ransomware-Gruppe stammen aus internen Chats, die in Folge einer pro-russischen Positionierung der Gruppe im Ukraine-Krieg geleakt wurden. "Sollte sich jemand dazu entschließen, einen Cyberangriff oder irgendwelche Kriegsaktivitäten gegen Russland zu organisieren, werden wir alle unsere möglichen Ressourcen einsetzen, um die kritischen Infrastrukturen eines Feindes anzugreifen," heißt es in einem Blogeintrag der Ransomware-Gruppe.
Anfangs wurde angenommen, dass die Chats von einem ukrainisch-stämmigen Mitglied der Gruppe geleakt wurden. Der Journalist Brian Krebs(öffnet im neuen Fenster) geht allerdings davon aus, dass es sich bei dem Leaker um einen ukrainischen Sicherheitsforscher handelt. Denn die Infrastruktur von Conti wurde zeitweise demontiert und immer wieder von Sicherheitsforschern, Strafverfolgungsbehörden und Geheimdiensten infiltriert. Insgesamt wurden zehntausende Nachrichten über den Twitter-Account Contileaks(öffnet im neuen Fenster) veröffentlicht, die tiefe Einsichten in die Arbeitsweise und Struktur der Ransomware-Gruppe bieten - die es vor allem auf große Unternehmen abgesehen hat.
Kritik an Arbeitsbedingungen und niedrigem Gehalt
Demnach hat Conti über 100 Angestellte und gleicht mit verschiedenen Abteilungen mit eigenen Budgets strukturell einem mittelständischen Unternehmen. Daneben gibt es eine Abteilung Administration, die sich um Auf- und Abbau von Servern und anderen Angriffsinfrastrukturen kümmert, sowie Abteilungen, die sich um das Programmieren oder Testen der Schadsoftware kümmern. Daneben gibt es auch eine Personalabteilung, die ständig auf der Suche nach neuen Mitarbeitern ist und Bewerbungsgespräche durchführt.
Dabei hat es die Personalabteilung laut der internen Chats gar nicht so leicht. So erzählte ein Conti-Manager mit dem Nicknamen Mango im Juli 2021 von geschalteten Anzeigen in mehreren russischsprachigen Cybercrime-Foren, mit denen Mitarbeiter gewonnen werden sollten. "In der Anzeige steht ein Gehalt von 2.000 Dollar, aber es gibt viele Kommentare, dass wir Galeerensklaven rekrutieren," schreibt Mango an Stern, laut Krebs eine Art mürrischer Aufseher, der laufend Berichte von den Angestellten einfordert.
"Natürlich bestreiten wir das und sagen, dass diejenigen, die arbeiten und Ergebnisse liefern, mehr verdienen können, aber es gibt Beispiele von Programmierern, die normal arbeiten und 5 bis 10 Tausend Dollar verdienen," schreibt Mango weiter. Doch nicht nur in Cybercrime-Foren hagelt es solche Kritik, auch die Conti-Angestellten kritisieren demnach die Arbeitsbedingungen.
So beschweren sich die Angestellten im Conti-Chatroom über tagelanges Arbeiten ohne Pausen und Schlaf, während die Führungskräfte ihre wiederholten Bitten um etwas Freizeit ignorierten. Dabei hatte Conti laut den Chats ohnehin Probleme, Angestellte für die zermürbende und repetitive Arbeit zu finden oder zu halten, die im Vergleich zur Spitze der Ransomware-Gruppe nicht besonders gut bezahlt war: Demnach verdienten die meisten Angestellten zwischen 1.000 und 2.000 US-Dollar im Monat.
Versteckspiel mit dem Windows Defender und unbezahlte Rechnungen
"Unsere Arbeit ist im Allgemeinen nicht schwierig, sondern eintönig, da wir jeden Tag das Gleiche tun," schrieb der Conti-Mitarbeiter Bentley, der offenbar für die Tarnung der Schadsoftware zuständig war, damit Antivirenprogramme sie nicht erkennen. "Im Wesentlichen geht es darum, Dateien zu starten und sie anhand des Algorithmus zu überprüfen."
Die Tests der Malware müssten etwa alle vier Stunden wiederholt werden, um zu prüfen, ob die in Windows integrierte Sicherheitssoftware Windows Defender den Code beeinträchtigt. "Ungefähr alle 4 Stunden wird ein neues Update der Defender-Datenbanken veröffentlicht", erklärte Bentley. "Man muss 8 Stunden vor 20-21 Uhr Moskauer Zeit arbeiten. Und ein beruflicher Aufstieg ist möglich."
Eine Abteilung für Spam gibt es jedoch nicht, dieses Geschäft wird offensichtlich ausgelagert. Aus den Chats ergibt sich zudem, dass Conti auf die Dienste von Trickbot und Emotet zurückgegriffen hat. Emotet soll demnach weitgehend dieselbe Organisationsstruktur wie Conti gehabt haben und mehr als 50 Mitarbeiter beschäftigt haben.
Ebenfalls wird klar, dass die Ransomware-Gruppe vor nichts zurückschreckt. Als im Oktober 2020 428 medizinische Einrichtungen in den USA mit der Ransomware infiziert wurden, schreibt ein Conti-Manager: "Scheiß auf die Kliniken in den USA diese Woche." Und weiter: "Es wird Panik geben. 428 Krankenhäuser."
Nicht bezahlte Rechnungen
In den Conti-Chats finden sich aber auch mehrmals pro Woche Nachrichten von Angestellten, die die digitale Infrastruktur der Gruppe verwalten. Sie klagen über fehlendes Budget und überfällige Rechnungen für registrierte Domains, virtuelle Server und andere Infrastruktur.
So beschwerte sich ein Conti-Angestellter mit dem Nickname Carter am 31. März 2021, dass 1.240 US-Dollar in einem Bitcoin-Topf fehlten, der für die Bezahlung von VPN-Abonnements, Antivirus-Produktlizenzen, neuen Servern und Domain-Registrierungen vorgesehen ist. Eine ähnliche Nachricht schreibt er im November: "Hallo, wir haben keine Bitcoins mehr, vier neue Server, drei VPN-Abonnements und 22 Verlängerungen sind abgelaufen." Er schließt mit der Bitte, dass umgehend Bitcoins an das entsprechende Wallet gesendet werden sollten.
Aus den Chats zieht Krebs das Fazit(öffnet im neuen Fenster) : "Insgesamt habe ich den Eindruck gewonnen, dass Conti eine äußerst effektive - wenn auch bemerkenswert ineffiziente - cyberkriminelle Organisation ist."