Conti: Die Ransomwaregruppe mit Verbindungen zum russischen Staat

Aus internen Chats von Conti geht hervor, das die Ransomwaregruppe Verbindungen zu russischen Behörden unterhält. Die internen Chats wurden Ende Februar von einem Sicherheitsforscher geleakt. Sie enthalten umfangreiche Informationen über die Arbeit und die Struktur der Gruppe, die wie ein chaotisches mittelständisches Unternehmen agiert, das seine Angestellten schlecht behandelt.

Nach dem Ausbruch der Coronapandemie beschuldigten mehrere Staaten die staatliche Hackergruppe APT 29, die Russland zugeordnet und auch Cozy Bear genannt wird, in die Netzwerke von Pharmaunternehmen und Universitäten eingedrungen zu sein. Nur wenige Tage später diskutierte auch die Führungsebene der Ransomwaregruppe Conti über Cozy Bear. Zwei Conti-Mitglieder, die mit Leitungsaufgaben betraut sind, debattierten laut dem Magazin Wired über die Einrichtung eines speziellen Büros für "Regierungsthemen".

Ein Conti-Führungsmitglied mit dem Nicknamen Stern erklärte im selben Chat, dass sie eine Partei "von außen" hätten, welche die Gruppe bezahle und deren Ziele übernommen werden sollten. "Die wollen im Moment viel über Covid wissen", schreibt ein Conti-Mitglied an Stern. "Cozy Bear arbeitet die Liste bereits ab."

Hinweise auf Kontakte zu staatlichen Hackergruppen und dem Geheimdienst FSB

"Sie verweisen auf die Einrichtung eines langfristigen Projekts und scheinen die Idee zu äußern, dass die externe Partei in Zukunft helfen würde", sagt Kimberly Goody, Direktorin für Cybercrime-Analysen bei der Sicherheitsfirma Mandiant. "Wir glauben, dass dies eine Anspielung darauf ist, dass diese externe Partei ihnen dabei helfen könnte, wenn Strafverfolgungsmaßnahmen gegen sie ergriffen werden." Goody weist darauf hin, dass die Gruppe auch die Liteyny-Allee in St. Petersburg erwähnt, wo sich die örtlichen Büros des russischen Geheimdienstes FSB befinden.

"Die durchgesickerten Chats vermitteln den Eindruck, dass die Anführer von Conti wussten, dass sie operieren durften, solange sie die unausgesprochenen Richtlinien der russischen Regierung befolgten", sagt Allan Liska, Analyst bei der Sicherheitsfirma Recorded Future, zu Wired. "Es scheint zumindest einige Kommunikationswege zwischen der russischen Regierung und der Conti-Führung gegeben zu haben."

In weiteren Chats spricht die Conti-Führungsebene über Personen, die "gegen die Russische Föderation arbeiten". Von diesen sollten Informationen abgefangen werden. Laut den Chat-Protokollen ist das Recherchenetzwerk Bellingcat eines der Ziele, insbesondere deren Recherchen zum Giftanschlag auf den russischen Oppositionsführer Alexej Nawalny. Auch in diesem Chat wird der FSB erwähnt sowie ein Zugang zu Passwörtern eines Bellingcat-Mitglieds.