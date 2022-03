Als die Hacker-Gruppe Conti am Wochenende ihre uneingeschränkte Unterstützung des russischen Angriffs in der Ukraine verkündete, war das eine klare Drohung. Nun wurde sie selbst zum Opfer eines riesigen Leaks. Und fand sich quasi nackt im Netz wieder.

Sie sind eine der berüchtigtsten Ransomware-Banden: Wenn Contis Erpressungstrojaner eine Firmen- oder Behördennetzwerk kaperten, wurde es für die Besitzer schnell sehr, sehr teuer. Doch die Entscheidung für Russland im aktuellen Konflikt dürfte die Hacker gerade selbst mehr kosten, als ihnen lieb ist. Denn eines ihrer Mitglieder war mit der Seitenwahl alles andere als einverstanden.

Die Ansage Contis war durchaus martialisch. "Wir stehen voll hinter der russischen Regierung. Sollte sich irgendwer zu einem Cyberangriff oder anderen Kriegshandlungen gegen Russland entscheiden, werden wir alle unsere Ressourcen in einen Gegenschlag auf die kritische Infrastruktur unserer Feinde stecken", erklärte die Truppe am Freitag. Die Antwort folgte allerdings schnell - aus dem eigenen Team. Mit der klaren Ansage "F*** die russische Regierung, Ruhm der Ukraine" stellte sich ein ehemaliger Team-Mitglied gegen die Entscheidung. Und stellte Unmengen an Daten der Hacker ins Netz.

Alles im Netz

Unter dem Namen "Contileaks" verbreitete die Person zunächst die Gruppen-Chats aus dem Dienst Jabber aus einem Zeitraum des gesamten letzten Jahres. Später folgten Teile des Werkzeug-Kits der Gruppe, einige Listen ihrer Opfer, Auszüge aus einem internen Forum sowie weitere Chat-Auszüge. Sogar Zugänge zu einige Servern waren darunter. Bevor die Hacker sie löschen konnten, gelang es den informierten Journalisten und Sicherheitsexperten aber, noch Teile der darauf liegenden Daten zu retten.

Der Riesenleak dürfte für die Gruppe extrem schmerzhaft sein. Die Chats und Werkzeuge erlauben tiefe Einblicke in die Funktionsweise der Gruppe, ihr Vorgehen, ihre Werkzeuge - und ihre Einkünfte. So wurde beim Durchforsten von etwa 230 Krypto-Geldbörsen auch die vermeintliche Hauptwallet der Hacker entdeckt. Die war aktuell zwar nahezu leergeräumt, durch das Register ist aber ersichtlich, dass insgesamt knapp 65.500 Bitcoin hindurch bewegt wurden. Nach aktuellem Kurs entspricht das fast 2,5 Milliarden Euro.

Geschäftsmodell in Gefahr

Diese Unsummen verdienten die Hacker nicht nur mit besonders skrupellosen Hackerattacken - im letzten Mai legte die Gruppe gleich 16 medizinische Einrichtungen wie Krankenhäuser auf einmal gezielt lahm -, sondern auch mit einem Service-Modell. Die als besonders effektiv bekannten Werkzeuge konnten von anderen Cyberkriminellen auch gemietet werden, Conti ließ sich dann einen Teil der Beute als Bezahlung auszahlen, geht aus den Chats hervor.

Der Leak könnte dieses Geschäftsmodell erheblich schwieriger machen. Und das gleich in mehrerer Hinsicht. Zum einen könnten die Chats den Ermittlungsbehörden wertvolle Hinweise auf den Aufenthaltsort, die Identität und die Rollen der Mitglieder in der Organisation geben. Zusätzlich droht den Hackern eine Beschlagnahmung der Einnahmen, wenn es den Behörden gelingt, die Bewegung der Kryptowährungen aus den Wallets zu erfolgen. Zu guter Letzt könnte auch das Kerngeschäft leiden. Weil sie nun direkt Teile der Angriffs-Werkzeuge untersuchen können, wird es für Sicherheitsforscher erheblich leichter, die Einfalltore für sie zu erkennen und zu beseitigen.

Wer steckt hinter dem Leak?

Wer für den Leak genau verantwortlich ist, ist indes noch nicht vollständig klar. In einer Nachricht erklärte die Person, dass die durch Kampfgeschehen in der Nähe mit Internetproblemen zu kämpfen habe. Sie sitzt also vermutlich selbst in der Ukraine. Das glaubt auch Sicherheitsforscher Alex Holden. "Das ist ein ukrainischer Bürger, ein echter Sicherheitsforscher, der seinen Teil im Krieg gegen die Cyberkriminellen tut, die auf Russland Seite stehen", sagte der ebenfalls aus der Ukraine stammende Holden gegenüber "The Verge". Der Leaker habe sich in die Bande eingeschleust, mehr Details zu seiner Person wolle er aus Sicherheitsgründen aber nicht nennen.

Eine unerwartete Folge ist eine Distanzierung einer anderen berüchtigten Hackergruppe. "Wir sind unpolitisch", grenzte sich die Gruppe Lockbit am Sonntag von Contis Kampfansage ab. Und stellte dabei gleich klar, dass Angriffe auf die Infrastruktur westlicher Staaten für sie tabu seien. Der Grund ist so einleuchtend wie banal. "Wir sehen das einfach nur als Business."

Quellen:Twitter, SC Media, The Verge



