Belohnung für Informationen zur Ergreifung der Conti Ransomware Group
Belohnung für Informationen zur Ergreifung der Conti Ransomware Group
Bildquelle: nito103, Lizenz

Conti Ransomware Group: USA setzt Belohnung von 15 Mio USD aus

Die USA haben eine Belohnung von bis zu 15 Mio USD für Informationen über die in Russland ansässige Ransomware-Group Conti ausgesetzt.

Die US-Behörden haben eine Belohnung in Höhe von bis zu 15 Mio USD für Informationen ausgesetzt, die zur Identifizierung, Festnahme und/oder Verurteilung von Personen führen, die an Angriffen mit der Ransomware-Variante Conti beteiligt waren. Darüber informiert das Außenministerium der Vereinigten Staaten in einer Pressemitteilung. Der Sprecher des Außenministeriums, Ned Price, betont, dass die in Russland ansässige Ransomware-Gruppe Conti für Cyber-Erpressungsangriffe weltweit verantwortlich gemacht wird.

Conti-Ransomware bedroht IT-Sicherheit weltweit

Das Geld, das man im Rahmen des Transnational Organized Crime Rewards Program (TOCRP) des Außenministeriums anbietet, wird dabei in zwei Töpfe aufgeteilt. Zum einen gibt es bis zu 10 Millionen Dollar für Informationen über die Identität oder den Aufenthaltsort von Personen, „die eine wichtige Führungsposition in Conti innehaben“. Zum anderen zahlt man zu 5 Millionen US-Dollar für Informationen, die zur Verhaftung oder Verurteilung von Personen führen, die sich verschworen haben, die Malware für Angriffe zu verwenden. Price führt an:

„Mit der Auslobung dieser Belohnung zeigen die Vereinigten Staaten ihr Engagement für den Schutz potenzieller Ransomware-Opfer auf der ganzen Welt vor der Ausbeutung durch Cyber-Kriminelle. Wir suchen die Zusammenarbeit mit Nationen, die bereit sind, den von Ransomware betroffenen Opfern Gerechtigkeit widerfahren zu lassen.“

Hacker-Group für 1.000 Angriffe in zwei Jahren verantwortlich

Das US-Außenministerium beruft sich in der Pressemitteilung auf FBI-Zahlen. Demgemäß wird die Conti-Variante in den letzten zwei Jahren mit über 1.000 Angriffen in Verbindung gebracht. Im November letzten Jahres traf es beispielsweise den US-amerikanischen Kochgeschirr-Hersteller, die Meyer Corporation aus Vallejo in Kalifornien. Zu weiteren Opfern zählen Jean Floc’h, Trina Solar, Dalloyau und Indian Creek. Diese Angriffe kosteten die Opfer dabei über 150 Millionen Dollar. Damit sei es die umsatzstärkste Ransomware aller Zeiten, hieß es.

Erst im März diesen Jahres verwies It-Service.Network darauf, dass Akteure der TrickBot-Malware eine Allianz mit den Conti-Hackern eingegangen seien. Sie wiesen darauf hin, dass TrickBot-Malware modular aufgebaut wäre und bereits seit sechs Jahren aktiv sei. Ursprünglich war sie zwar für den Diebstahl von Bankdaten und anderen Zugangsdaten konzipiert, seine Betreiber haben dessen Fähigkeiten jedoch stets erweitert. Trickbot verhalf dem Emotet-Trojaner zum Comeback, der daraufhin zahlreiche Unternehmen lahmlegte.

Die Conti-Ransomware ist hingegen jünger und konnte erstmals 2020 beobachtet werden. Die Group dahinter nutzte die von ihr verbreitete Ransomware konsequent als Einnahmequelle. Demgemäß forderten sie für verschlüsselte Daten Lösegeld in nicht geringer Höhe. Zudem betreiben sie ein Ransomware-as-a-Service-Modell, wobei die Conti-Hacker ihre Malware an andere Cyberkriminelle verkaufen.

Cyberkriminelle Gruppen haben seit Jahren in Russland relativ ungestraft gehandelt. Der Kreml und die örtlichen Strafverfolgungsbehörden haben bei deren Ransomware-Angriffen weitgehend die Augen verschlossen, solange sie nicht auf russische Unternehmen abzielten. Ein Cache mit 60.000 durchgesickerten Chat-Nachrichten und Dateien der berüchtigten Ransomware-Gruppe Conti gab Aufschluss darüber, wie gut die kriminelle Bande in Russland vernetzt ist, berichtete CNBC.

Datenleck gewährte Einblicke in interne Arbeitsweise der Hacker-Group

Nachdem das fatale Datenleck private Chats und weitere Informationen von Conti offengelegt hatte, erhielten Sicherheitsforscher erstmals Informationen über die internen Abläufe der berüchtigten Hackergruppe. Es enthüllte Details über die Größe, Führung und Operationen. Die Meldungen besagen, dass Conti wie ein normales Unternehmen arbeitet, mit Angestellten, Prämien, Leistungsbeurteilungen und sogar „Mitarbeitern des Monats“. So soll die Gruppe jährlich 6 Millionen Dollar für Gehälter, Dienstleistungen und Arbeitsmittel ausgegeben haben.

Das dienstälteste Mitglied ist unter den Pseudonymen Stern oder Demon bekannt und fungiert als CEO. Ein weiteres Mitglied, namens Mango, ist General Manager. Das Conti-Hauptteam würde aus 62 Personen bestehen. Die Anzahl der beteiligten Mitarbeiter schwankt und erreicht eine Anzahl bis zu 100 Personen. Aufgrund des ständigen Mitgliederwechsels rekrutiert die Gruppe Mitglieder von legitimen Stellenvermittlungsseiten und Hackerseiten.

Trotz des Datenlecks liefen Contis Operationen weiter. Price wies darauf hin, dass Conti für einen Angriff auf Costa Ricas Steuer- und Zollplattformen im April verantwortlich gemacht wurde:

„Im April 2022 verübte die Gruppe einen Ransomware-Vorfall gegen die Regierung von Costa Rica, der den Außenhandel des Landes durch die Unterbrechung seiner Zoll- und Steuerplattformen schwer beeinträchtigte“.

Costa Rica ruft wegen Conti-Ransomware-Angriffen nationalen Notstand aus

Wie Bleeping Computer heute berichtete, ruft Costa Rica den nationalen Notstand aus. Demgemäß begründet der neu gewählte Präsident von Costa Rica, Rodrigo Chaves, am Sonntag, dem 8. Mai, den nationalen Notstand mit den anhaltenden Conti-Ransomware-Angriffen. Conti forderte zuvor vom Ministerium des Landes ein Lösegeld in Höhe von 10 Millionen US-Dollar, das die Regierung allerdings nicht bereit war zu zahlen.

„Den Angriff, dem Costa Rica durch Cyberkriminelle und Cyberterroristen ausgesetzt ist, erklären wir zum nationalen Notstand. Wir unterzeichnen dieses Dekret, um den gesamten öffentlichen Sektor des costaricanischen Staates in den nationalen Notstand zu versetzen. Damit geben wir unserer Gesellschaft die Möglichkeit, auf diese Angriffe als kriminelle Handlungen zu reagieren“.

Die Datenleak-Website von Conti führt auf, dass die Gruppe 97 Prozent des 672-GB-Datendumps geleakt habe. Dieses solle Informationen enthalten, die die Group von Regierungsbehörden gestohlen hätte. Zudem listet die Site auf, wer konkret von dem Angriff betroffen war. Demgemäß gaben sie das Finanzministerium von Costa Rica, das Ministerium für Arbeit und soziale Sicherheit, MTSS, den Fonds für soziale Entwicklung und Familienbeihilfen, FODESAF sowie das Interuniversitäre Hauptquartier von Alajuela, SIUA, an.

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.