Kurz vor dem Beginn des russischen Angriffs auf die Ukraine gab es eine Meldung, wonach
drei Viertel aller Ransomware-Lösegelder nach Russland fließen. Es ist deshalb keine Überraschung, dass die Ransomware-Gruppe Conti sich auf die Seite Russlands gestellt hat - mit Folgen.
Ransomware ist vor allem eines: ein Riesengeschäft. Die auf diese Weise erpressten Gelder fließen aber überwiegend nach Russland, weshalb man davon ausgehen kann, dass auch die meisten Erpresser in Russland sitzen. Doch im Zuge des Angriffs auf die Ukraine sind auch Ransomware-Gruppen politisiert worden - offenbar zum Missfallen ukrainischer Mitglieder bzw. Partner.
Denn wie
BleepingComputer berichtet, hat der ukrainische Sicherheitsforscher Vitali Kremez mehr als 60.000 interne Nachrichten der Conti-Ransomware-Gruppe erhalten und veröffentlicht. BleepingComputer bestätigt die Echtheit der Chats, denn man konnte sie mit Nachrichten abgleichen, die man aus einer früheren Conti-Attacke auf Shutterfly erhalten hat.
Insgesamt sind es knapp 400 JSON-Dateien, diese beinhalten gut 60.000 Nachrichten, beginnend mit dem 21. Januar 2021. Das bedeutet, dass das kein vollständiges Archiv der Erpresser-Aktivitäten ist, denn Conti hat die Aktivitäten im Juli 2020 begonnen.
Eine Fundgrube für Informationen
Dennoch bekommt man auf diese Weise einen guten Einblick, wie es in einer der großen Ransomware-Gruppen zugeht, einschließlich bisher nicht gemeldeter bzw. bekannter Opfer, privater Datenleck-URLs, Bitcoin-Adressen und allgemeine Diskussionen über Conti-Aktivitäten. Aktuell analysieren Experten und Sicherheitsforscher die Nachrichten, man will und wird damit natürlich die Aktivitäten erschweren, wenn nicht sogar unterbinden können. Zudem werden auch Strafverfolgungsbehörden wichtige Informationen über die internen Prozesse von Conti erhalten.
Weiterlesen: