Conti-Leaks enthüllt: Cybercrime Einstiegsgehalt bei 2.000 US-Dollar

Die unfreiwillig offengelegte interne Kommunikation einer Cybercrime-Gang liefert erstaunliche Einblicke. Die erkennbaren Strukturen orientieren sich an denen klassischer Unternehmen. Doch die Personalpolitik der Kriminellen erscheint recht fragwürdig.

Der Ukraine-Konflikt führt auch im Cybercrime zu bemerkenswerten Verwerfungen. Die Kriminellen operieren gewöhnlich arbeitsteilig. Die Bandenmitglieder sind häufig international verteilt und schwerpunktmäßig in Osteuropa beheimatet. Nicht selten sitzen die Köpfe dieser Gangs in Russland.

Im Zuge des kriegerischen Konflikts kam es auch in diesen Gruppen zu Disputen und Spaltungen, etwa wenn eine Gruppe unter anderem aus Russen und Ukrainern bestand. Auch die für zahlreiche große Cyber-Attacken bekannte Conti-Gruppe blieb davon nicht verschont. In der Folge wurden interne Chat-Protokolle und Kommunikationsverläufe geleakt. Die Conti-Gang besteht nach Erkenntnissen von Sicherheitsspezialisten aus russischen und osteuropäischen Cyber-Kriminellen und wird vom FBI für mehrere Hundert Ransomware-Attacken (Angebote zum Schutz vor Ransomware auf it-sa 365) verantwortlich gemacht, bei denen ein Schaden von mehreren Hundert Millionen US-Dollar entstanden sein soll.

Durch das Leak gerieten mehrere Gigabyte an Chat-Verläufen ans Tageslicht, für Sicherheitsforscher ein gefundenes Fressen. Deren Analysen liefern das Bild einer Gruppe, die wie ein kleines Mittelstandsunternehmen funktioniert. So gibt es eine Personalabteilung, eine IT-Abteilung deren Administratoren sich um die Infrastruktur kümmern oder auch einen Kundenservice für die Verhandlungen mit den Geschädigten. Allerdings stechen auch ein paar besondere Bereiche heraus, beispielsweise das OSINT-Team, das in öffentlichen Quellen Recherchen über Opfer betreibt. Es versucht, aus öffentlichen Quellen Umsatzzahlen, Produktankündigen oder geplante Akquisen zu ermitteln und auszuwerten. Das bildet die Basis für die Festlegung einer Lösegeldsumme. 

 

Unternehmen auf Wachstumskurs

Insgesamt hatte die Conti-Gruppe Mitte 2021 angeblich 62 Angestellte, zumeist Programmierer. Diese sind in verschiedenen Bereichen tätig, einige entwickeln Malware, andere sind für dessen Verschleierung und Tarnung zuständig, damit diese nicht von Security-Software erkannt werden kann. Wieder andere Spezialisten sind für das Reverse Engineering von Security-Software zuständig, um deren Funktionsweise und Fähigkeiten zu analysieren. Genauso intensiv schauen sie sich aber die Malware anderer Gangs an, um deren Features zu übernehmen. Der Kopf der Conti-Gang agiert unter dem Decknamen „Stern“. Sicherheitsspezialisten haben einen Überblick über die beteiligten Personen und deren Rollen zusammengestellt.

Conti befindet sich tendenziell auf Wachstumskurs, im oben genannten Monat wurden laut Chat-Protokoll 25 weitere Mitarbeiter eingestellt, weitere sollten laut Aussage einer Führungskraft folgen. Dazu durchforsten die Leute von HR Untergrundforen, sprechen dort potenzielle Mitarbeiter an und schalten sogar Anzeigen auf einschlägigen Portalen.

 

Eigenwillige Personalpolitik

Doch die angebotenen Gehälter entsprechen anscheinend nicht den Vorstellungen russischer Cyber-Krimineller. Die von Conti offerierten 2000 US-Dollar wurden in den Foren spöttisch kommentiert. Eine Führungskraft sah sich daraufhin gezwungen, zu betonen, dass es sich dabei nur um das Einstiegsgehalt handele und Interessenten sehr schnell aufsteigen könnten, was zu Gehältern zwischen USD 5000 und 10.000 führe. Doch die Conti-Angestellten beklagen sich in den Chats nicht nur über schlechte Arbeitsbedingungen, auch würden die Führungsfiguren üppig abkassieren, Details dazu blieben allerdings unklar. Beklagt werden ferner eintönige und langweilige Tätigkeiten. Zudem müssten viele Mitarbeiter täglich Berichte über ihre Tätigkeit abliefern. Eine hohe Fluktuation zwingt die Personalabteilung offenbar dazu, ständig neue Mitarbeiter zu suchen.

Hinzu kommt, dass US-amerikanische Ermittlungsbehörden der Gruppe in jüngster Zeit stark zusetzen, allen voran das FBI und die NSA. Dann werden als vorsorgliche Sicherheitsmaßnahme zahlreiche Mitarbeiter entlassen, sobald diese aufzufliegen drohen oder als Sicherheitsrisiko eingeschätzt werden. Obwohl also das „Unternehmen“ hohe Profite generiert, kann es offenbar keine sicheren und interessanten Jobs bieten.

Technische Details zur Conti-Gruppe beleuchtet der Artikel „Conti-Group: Dank Millionenerträgen im Visier der Ermittler“.

Eine der ausführlichsten Analysen der Conti-Chats findet sich bei dem Sicherheitsexperten Brian Krebs.

Autor: Uwe Sievers