Angriff nach Lehrbuch
ContiLeaks: Zip-Dateien per Known-Plaintext-Attacke knacken
Die Cybergang Conti ist berüchtigt für ihre Erpressungssoftware. Im Netz kursieren seit Kurzem der Quellcode des Schädlings sowie allerhand Interna der Gang. Die Zip-Datei mit den Daten war allerdings verschlüsselt. Wir zeigen, wie wir die Datei geknackt haben.
Die Cyberbande Conti gehört zu den Big Playern der kriminellen Unterwelt, die Ransomware-as-a-Service als ihr Geschäftsmodell betreiben. Im Angriffskrieg auf die Ukraine bezog die Bande Stellung und sprach sich für die russische Seite aus. Mutmaßlich als Reaktion darauf veröffentlichte ein anonymer Leaker mit dem Pseudonym ContiLeaks auf der Filehosting-Plattform anonfiles Dutzende JSON-Dateien mit internen Chatverläufen, Bilder und Quellcode. Die Daten enthalten mehr als 160.000 Nachrichten (siehe Kasten: „Alle haben einen Chef“), Hinweise auf Bitcoin-Wallets, welche im Laufe der Zeit Bitcoins im Wert von 2,5 Milliarden Euro erhalten haben, und Quellcode der gefürchteten Conti-Verschlüsselungssoftware – ein seltener Einblick in eine dunkle Welt.
Die Erpressungssoftware versteckt sich in einer passwortgeschützten Zip-Datei mit dem Namen conti_locker_v2.zip – das Passwort verriet ContiLeaks jedoch nicht. Am 1. März veröffentlichte er ein weiteres Dateiarchiv namens conti_locker.7z, diesmal aber ohne Passwortschutz und ohne den C++-Quellcode der Krypto-Ransomware.