Leaks aus der Hacker-Szene
Die Geheimnisse der Cyber-Clans
In den letzten Wochen haben Hacker wiederholt Interna ihrer Cybercrime-Gruppen verraten. Die Posts geben nicht nur Aufschluss über die Angriffsmethoden, sondern zeigen auch, wie professionell die Ransomware-Clans inzwischen organisiert sind – inklusive Krankengeld und Bonuszahlungen.
Der Ukraine-Krieg hat nicht nur zwischen Staaten und Regionen tiefe Risse verursacht, sondern auch in den dunklen Ecken des Cyberraums. Schon kurz nach dem russischen Angriff zeigte sich, dass dieser zu erheblichen Konflikten innerhalb einiger Hackergruppen führte. Kein Wunder, stehen doch mehrere von ihnen russischen Geheimdiensten wie dem FSB nahe, rekrutieren ihre Mitglieder aber auf der ganzen Welt. So stellte sich etwa die Ransomware-Gruppe Conti erst klar auf die Seite Russlands, ruderte einige Tage später jedoch wieder teilweise zurück. Doch das reichte offenbar nicht allen Involvierten. Drei Tage nach dem Beginn der Invasion tauchte auf Twitter der Account ContiLeaks auf und begann, Interna aus der Gruppe zu veröffentlichen. Darunter befanden sich unter anderem Logs mit mehr als 60.000 Nachrichten mitten aus dem Herz des Hacker-Clans. Einige Tage später folgte diesem Beispiel mit trickleaks ein zweiter Whistleblower-Account, der weitere rund 250.000 interne Nachrichten aus der Trickbot-Gruppe samt Hintergrundinformationen lieferte.
Für Security-Experten und Strafverfolgungsbehörden tat sich damit ein wahrer Schatz auf. Zum einen wurden ihnen damit direkt Mitgliederlisten mit Informationen zu einzelnen Hackern wie deren reale Identitäten samt Namen, Adressen, Telefonnummern, IP-Adressen, Fotos, Kryptowallets, Social-Media-Accounts und teils sogar Steuer- und Ausweisnummern sowie Arbeitsstellen und auch zur genutzten technischen Infrastruktur auf dem Silbertablett geliefert. Damit können sie nun sowohl auf juristischem Wege als auch digital deutlich gezielter gegen das kriminelle Netzwerk und seine Beteiligten vorgehen. Zum anderen liefert das Material tiefgreifenden Einblick in die Arbeitsweisen und Strukturen der digitalen Schattenwelt. „Diese Nachrichten aus über zwei Jahren gewähren uns nicht nur einen beispiellosen Einblick in die Arbeitsweise von Trickbot selbst. Sie zeigen uns darüber hinaus, wie die Branchenführer und Manager der organisierten Cyberkriminalität agieren“, erklärt der Security-Anbieter Cyjax, der jetzt eine umfassende Analyse des Materials veröffentlicht hat. „Durch die Analyse der undichten Stellen haben wir einen transparenten Einblick in Trickbot erhalten, der nicht nur ihre TTPs zeigt, sondern auch den Entwicklungsprozess von Malware und Command-and-Control-Strukturen (C2).“
Was dabei zutage kommt, dürfte selbst manchen gestandenen Profi überraschen. Zwar war schon länger klar, dass die Cybergangster nicht mehr alleine im dunklen Kämmerlein arbeiten und inzwischen recht professionell aufgestellt sind, tatsächlich jedoch gleichen ihre Strukturen in vielerlei Hinsicht exakt denen eines Konzerns. An der Spitze steht ein Management, das die Strategie und Ziele vorgibt, die Arbeit der verschiedenen Abteilungen wie Technik, Softwareentwicklung und Human Resources koordiniert und die Gelder verwaltet und verteilt. Anders als bei den Mitarbeitern, deren Daten strukturiert und umfassend erfasst werden, legt dieser Führungszirkel jedoch besonderen Wert darauf, seine eigenen Identitäten bestmöglich zu schützen. Selbst in den Chats tritt das Spitzenpersonal nur selten und dann unter Pseudonymen auf. Der Chef der Technik- und Entwicklungsabteilung nennt sich etwa „Silver“, der Geschäftsführer bleibt gar völlig namenlos. Wie Cyjax ausführt, taucht er in den Protokollen stattdessen unter verschiedenen Umschreibungen wie „Der Chef mit der Kohle“ auf.
- Die Geheimnisse der Cyber-Clans
- Boni und Sozialleistungen für emsige Hacker
Lesen Sie mehr zum Thema
