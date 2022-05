Die Conti-Bande ist eine der größten und einflussreichsten Cybercrime-Unternehmungen – beziehungsweise war: Denn nach Informationen von Security-Forschern soll die Marke "Conti" verschwinden, während sich die Mitglieder neu organisieren. Der spektakuläre Ransomware-Angriff auf Costa Rica diene dabei vor allem als großer Paukenschlag zum Abschied, erklären die Threat-Intelligence-Spezialisten von AdvIntel.

Das Ende von Conti zeichnete sich eigentlich bereits Anfang des Jahres ab. Die kriminelle Organisation befand sich auf dem Höhepunkt ihrer Entwicklung als einer der führenden Anbieter von "Ransomware as a Service" (RaaS) und hatte sich unter anderem die Überreste von einstmals großen Operationen wie Emotet, Trickbot und BazarLoader einverleibt.

Blühende Geschäfte

Das kriminelle Geschäft blühte, allein 2021 erpressten die Kriminellen 180 Millionen US-Dollar. Das FBI bezeichnete sie als die "schädlichste Ransomware-Variante", die man jemals verzeichnet habe. Doch dann beging die Führung einen strategischen Fehler, indem sie sich eindeutig an der Seite Russlands in deren Angriffskrieg gegen die Ukraine positionierte.

Das führte zu heftigen Verwerfungen innerhalb der Organisation, in der auch Ukrainer und Menschen mit starken Sympathien für die Ukraine aktiv waren. Schließlich veröffentlichte ein Insider Unmengen an Infomationen, darunter Chat-Protokolle, interne Dokumentation und Quellcode der eigentlichen Conti-Ransomware. Das erhöhte die Sichtbarkeit und die Möglichkeiten, gegen die Bande vorzugehen, ganz enorm. Ein Kopfgeld von 15 Millionen US-Dollar unter anderem auf Ergreifung der Mitglieder der Führungsebene tat ein übriges.

Dezentralisierung statt Rebranding

Ein reines Re-Branding, wie es Cybercrime-Banden bereits öfter vollzogen, hatte da wenig Aussicht auf Erfolg. Deshalb fasste die Conti-Führung den Plan, das Unternehmen zu dezentralisieren und in kleinere Einheiten aufzuteilen, die nur noch lose zusammenarbeiten. Dazu sollte die eigentliche Verschlüsselungs-Software namens Conti ausgemustert werden. Eine Reihe von kleineren Teams spezialisierte sich unter neuen Namen wie Karakurt, BlackBasta oder BlackByte auf das reine Ausschleusen von gestohlenen Daten und anschließende Erpressung mit der Drohung von Veröffentlichung.

Andere Conti-Mitglieder schließen sich nach AdvIntels Informationen anderen RaaS-Banden wie BlackCat, HIVE, HelloKitty/FiveHands und AvosLocker an und setzen deren Verschlüsselungs-Software ein. Diese Banden profitieren dabei vom Conti-Know-how. Wiederum andere arbeiten komplett selbstständig weiter. Dabei würden die Ex-Contis weiterhin Kontakt halten und sich mit den ehemaligen Leitern der Gruppe abstimmen, erklärt AdvIntel, in seinem Blog-Beitrag DisCONTInued: The End of Conti’s Brand Marks New Chapter For Cybercrime Landscape

Abgang mit Paukenschlag

Die Erpressung und die dabei veröffentlichten Drohungen gegen Costa Rica seien demnach nur eine Inszenierung, die mit minimalem Aufwand von der im Hintergrund laufenden Umstrukturierung ablenken sollte. Conti habe dabei nie mit tatsächlichen Einnahmen gerechnet. Mittlerweile sei der Umbau weitgehend abgeschlossen; die interne Infrastruktur für Chats, die Abwicklung von Verhandlungen und Zahlungen und so weiter ist bereits stillgelegt. Lediglich die nach außen sichtbare Veröffentlichungsplattform ist noch in Betrieb.

Ob Conti damit zerfällt oder wirklich als dezentral organisiertes Konstrukt unter der Kontrolle der Masterminds im Hintergrund weiter existiert, muss die Zukunft zeigen. Es steht jedoch zu befürchten, dass diese Umstrukturierung den Cybercrime-Untergrund eher beleben als schwächen wird. Denn auch wenn Teile der hocheffizienten Conti-Infrastruktur jetzt stillgelegt sind, bleibt doch das eigentliche Kapital in Form von Know-how und Kontakten erhalten und kann in neuen Zusammenhängen seine vergifteten Früchte tragen.

(ju)