Conti: Die Ransomwaregruppe mit Verbindungen zum russischen Staat
Aus internen Chats von Conti geht hervor, das die Ransomwaregruppe Verbindungen zu russischen Behörden unterhält. Die internen Chats wurden Ende Februar von einem Sicherheitsforscher geleakt. Sie enthalten umfangreiche Informationen über die Arbeit und die Struktur der Gruppe, die wie ein chaotisches mittelständisches Unternehmen agiert, das seine Angestellten schlecht behandelt .
Nach dem Ausbruch der Coronapandemie beschuldigten mehrere Staaten die staatliche Hackergruppe APT 29, die Russland zugeordnet und auch Cozy Bear genannt wird, in die Netzwerke von Pharmaunternehmen und Universitäten eingedrungen zu sein. Nur wenige Tage später diskutierte auch die Führungsebene der Ransomwaregruppe Conti über Cozy Bear. Zwei Conti-Mitglieder, die mit Leitungsaufgaben betraut sind, debattierten laut dem Magazin Wired(öffnet im neuen Fenster) über die Einrichtung eines speziellen Büros für "Regierungsthemen" .
Ein Conti-Führungsmitglied mit dem Nicknamen Stern erklärte im selben Chat, dass sie eine Partei "von außen" hätten, welche die Gruppe bezahle und deren Ziele übernommen werden sollten. "Die wollen im Moment viel über Covid wissen," schreibt ein Conti-Mitglied an Stern. "Cozy Bear arbeitet die Liste bereits ab."
Hinweise auf Kontakte zu staatlichen Hackergruppen und dem Geheimdienst FSB
"Sie verweisen auf die Einrichtung eines langfristigen Projekts und scheinen die Idee zu äußern, dass die externe Partei in Zukunft helfen würde," sagt Kimberly Goody, Direktorin für Cybercrime-Analysen bei der Sicherheitsfirma Mandiant. "Wir glauben, dass dies eine Anspielung darauf ist, dass diese externe Partei ihnen dabei helfen könnte, wenn Strafverfolgungsmaßnahmen gegen sie ergriffen werden." Goody weist darauf hin, dass die Gruppe auch die Liteyny-Allee in St. Petersburg erwähnt, wo sich die örtlichen Büros des russischen Geheimdienstes FSB befinden.
"Die durchgesickerten Chats vermitteln den Eindruck, dass die Anführer von Conti wussten, dass sie operieren durften, solange sie die unausgesprochenen Richtlinien der russischen Regierung befolgten," sagt Allan Liska, Analyst bei der Sicherheitsfirma Recorded Future, zu Wired. "Es scheint zumindest einige Kommunikationswege zwischen der russischen Regierung und der Conti-Führung gegeben zu haben."
In weiteren Chats spricht die Conti-Führungsebene über Personen, die "gegen die Russische Föderation arbeiten" . Von diesen sollten Informationen abgefangen werden. Laut den Chat-Protokollen ist das Recherchenetzwerk Bellingcat eines der Ziele, insbesondere deren Recherchen zum Giftanschlag auf den russischen Oppositionsführer Alexej Nawalny. Auch in diesem Chat wird der FSB erwähnt sowie ein Zugang zu Passwörtern eines Bellingcat-Mitglieds.
Conti bekommt Zusagen von Strafverfolgern
Aus den Chatprotokollen geht laut dem Journalisten Brian Krebs(öffnet im neuen Fenster) außerdem hervor, dass sich Conti um sein Mitglied Alla W. bemühte. Die 55-Jährige aus Lettland war im vergangen Jahr verhaftet worden. Sie wird verdächtigt, als Ransomware-Programmiererin gearbeitet zu haben. Laut Krebs geht aus den Chats hervor, dass Alla W. für viele Conti-Mitglieder eine Art Mutterfigur sei.
Die Conti-Führung organisierte demnach einen Anwalt für Alla W., der sowohl die Ermittler als auch den Richter kenne. Durch die Bezahlung der Anwaltskosten erhalte man zudem Einblicke in das Verfahren. Doch bis Oktober 2021 passierte nicht viel. Dann erfuhren die Conti-Mitglieder, dass die Ermittlungen wieder angelaufen seien: "Unser alter Fall wurde wieder aufgenommen," schrieb das Conti-Mitglied Kagas am 6. Oktober 2021 in einer Nachricht an Stern. "Der Ermittler sagte, warum er wieder aufgenommen wurde: Die Amerikaner haben offiziell Informationen über russische Hacker angefordert, nicht nur über uns, sondern generell über alle, die im Land erwischt wurden." Primär würden sich die USA jedoch für Trickbot interessieren.
Strafverfolgung nach Bedarf
Die russischen Ermittler würden sich in Kürze melden, erklärte Kagas. Im Moment werde man jedoch nur als Zeuge befragt. "Wenn das Verfahren eingestellt wird, können sie uns in keiner Weise verhören, und tatsächlich haben sie es deshalb wieder aufgenommen. Wir haben bereits unsere Anwälte kontaktiert," schreibt Kagas. Daraufhin schaltete sich ein anderes Conti-Mitglied in die Konversation ein und schrieb, dass der Gruppe von russischer Seite zugesichert worden sei, dass die Ermittlungen ins Leere laufen würden und die gesamten Ermittlungen bis zum November 2021 abgeschlossen seien.
Offenbar waren die Ermittler daran interessiert, die Ransomwaregruppe Revil zu verfolgen. Diese war zuvor mit mehreren Angriffen in die internationalen Schlagzeilen geraten, darunter wegen einer Attacke auf den amerikanischen IT-Dienstleister Kaseya , über welchen Hunderte Unternehmen in den USA und anderen Ländern mit Ransomware angegriffen wurden. Am 14. Januar gab die russische Regierung die Verhaftung von 14 Revil-Mitgliedern bekannt . Der FSB gab an, die Mitglieder seien nach Tipps durch US-Behörden festgenommen worden. Manche vermuten hinter der Festnahme jedoch politische Ziele.
"Wenn die russischen Behörden der Meinung sind, dass die Anführer von Conti nicht mehr von Nutzen sind, werden Maßnahmen ergriffen, aber wenn Conti in der Lage ist, weiterzumachen oder sich umzubenennen, wird es wahrscheinlich keine Maßnahmen geben," erklärte Liska. "Wenn Maßnahmen ergriffen werden, dann wahrscheinlich ähnlich wie gegen die Mitglieder von Revil, mit einer Reihe von auffälligen Verhaftungen, nur um die meisten der Verhafteten etwa einen Monat später wieder freizulassen."