Noch während die Betreiber von Conti damit drohten, die costaricanische Regierung zu stürzen, legte die berüchtigte Cybercrime-Bande offiziell ihre Infrastruktur still und verlagerte ihre kriminellen Aktivitäten auf andere Nebengeschäfte, darunter Karakurt und BlackByte.
„Von der Verhandlungsseite über Chatrooms und Messenger bis hin zu Servern und Proxy-Hosts – die Marke Conti, nicht die Organisation selbst, wird abgeschaltet“, so die AdvIntel-Forscher Yelisey Bogusalvskiy und Vitali Kremez in einem Bericht. „Das bedeutet jedoch nicht, dass die Bedrohungsakteure selbst in den Ruhestand gehen.
Die freiwillige Beendigung, mit Ausnahme des Name-and-Shame-Blogs, soll am 19. Mai 2022 erfolgt sein, während gleichzeitig eine organisatorische Umstrukturierung stattfand, um einen reibungslosen Übergang der Mitglieder der Ransomware-Gruppe zu gewährleisten.
Laut AdvIntel hat Conti, die auch unter dem Namen Gold Ulrick bekannt ist, ihr eigenes Ende durch den Einsatz von Informationskriegsführungstechniken inszeniert.
Die Auflösung erfolgte auch, nachdem sich die Gruppe öffentlich zu Russland bekannt hatte, als das Land in die Ukraine einmarschierte. Dies war ein schwerer Schlag für die Gruppe und führte dazu, dass Tausende von privaten Chatprotokollen sowie ihr Toolset veröffentlicht wurden, was sie zu einer „toxischen Marke“ machte.
Es wird vermutet, dass das Conti-Team seit über zwei Monaten aktiv Untergliederungen gegründet hat. Gleichzeitig unternahm die Gruppe Schritte, um das Geschehen zu kontrollieren, indem sie „Rauchzeichen“ aussandte, um die Bewegungen einer aktiven Gruppe zu simulieren.
„Der Angriff auf Costa Rica brachte Conti tatsächlich ins Rampenlicht und half ihnen, die Illusion des Lebens noch ein wenig länger aufrechtzuerhalten, während die wirkliche Umstrukturierung stattfand“, so die Forscher.
„Das einzige Ziel, das Conti mit diesem letzten Angriff erreichen wollte, war, die Plattform als Instrument der Öffentlichkeitsarbeit zu nutzen und ihren eigenen Tod und die anschließende Wiedergeburt auf die plausibelste Art und Weise zu inszenieren, die man sich vorstellen kann.
Abgesehen von dieser Ablenkungstaktik sollen Contis Infiltrationsspezialisten auch Allianzen mit anderen bekannten Ransomware-Gruppen wie BlackCat, AvosLocker, Hive und HelloKitty (alias FiveHands) geschmiedet haben.
Darüber hinaus hat das Cybersecurity-Unternehmen nach eigenen Angaben interne Informationen erhalten, die darauf hindeuten, dass russische Strafverfolgungsbehörden Druck auf Conti ausgeübt haben, damit es seine Aktivitäten einstellt, da die Angriffe des kriminellen Syndikats immer mehr an Bedeutung gewinnen.
Die Zugehörigkeit von Conti zu Russland hatte auch andere unbeabsichtigte Folgen, vor allem die Tatsache, dass das Unternehmen angesichts der strengen Wirtschaftssanktionen des Westens gegen Russland keine Lösegeldzahlungen von seinen Opfern erhalten konnte.
Aber auch wenn es die Marke nicht mehr gibt, hat die Gruppe eine dezentrale Hierarchie, die mehrere Untergruppen mit unterschiedlichen Motiven und Geschäftsmodellen umfasst, die von Datendiebstahl (Karakurt, BlackBasta und BlackByte) bis hin zur Arbeit als unabhängige Tochtergesellschaften reichen.
Es ist nicht das erste Mal, dass Gold Ulrick sein Innenleben umgestaltet hat. TrickBot, dessen Elite-Abteilung Overdose die Gründung von Ryuk und dessen Nachfolger Conti hervorbrachte, wurde inzwischen geschlossen und in das Kollektiv eingegliedert, wodurch TrickBot zu einer Conti-Tochter wurde. Es hat auch BazarLoader und Emotet übernommen.
„Die Diversifizierung des kriminellen Portfolios von Conti, gepaart mit der schockierend schnellen Auflösung, wirft die Frage auf, ob ihr Geschäftsmodell von anderen Gruppen wiederholt wird“, stellte AdvIntel letzte Woche fest.
„Ransomware Inc. ähnelt immer weniger den Gangs, als die sie oft bezeichnet werden, und immer mehr den Kartellen“, sagte Sam Curry, Chief Security Officer bei Cybereason, in einer Erklärung, die The Hacker News vorliegt.
„Das bedeutet Partnervereinbarungen, spezialisierte Rollen, unternehmensähnliche F&E- und Marketinggruppen und so weiter. Und da Conti allmählich die Art von Aktivitäten widerspiegelt, die wir bei seriösen Unternehmen sehen, ist es keine Überraschung, dass sie sich verändern.“