Ransomware-Gruppen wie Conti und Trickbot erpressen teilweise seit Jahrzehnten Unternehmen und Privatpersonen mit ihrer Schadsoftware. Jetzt hat es sich aber ein weiterer Hacker zur Aufgabe gemacht, die Verantwortlichen hinter den Cyberangriffen endgültig auffliegen zu lassen. Wie The Register berichtet, hat der Hacker mit dem Decknamen „GangExposed“ zahlreiche Daten der Ransomware-Verantwortlichen geleakt.

So kämpft ein Hacker gegen Ransomware-Gruppen

Zu den veröffentlichten Informationen zählen etwa Chat-Verläufe, Videos der Verantwortlichen sowie Verhandlungen mit Personen, die von ihnen erpresst wurden. Über einen Telegram-Kanal gab „GangExposed“ zunächst die Identität von „Stern“ bekannt, dem Anführer hinter Conti und Trickbot. Dabei soll es sich um den 36 Jahre alten Vitaly Nikolaevich Kovalev handeln. Wenig später wurde diese Annahme vom BKA bestätigt und eine Fahndung nach dem russischen Staatsbürger ausgerufen.

Kurz darauf folgte der nächste Leak von „GangExposed“. Dieser drehte sich um das Conti-Mitglied, das unter dem Decknamen „Professor“ bekannt ist. Hinter dem Namen soll der 39-jährige Vladimir Viktorovich Kvitko stecken, der vor fünf Jahren mit einem Teil der Conti-Mitglieder von Moskau nach Dubai umgezogen sein soll, um von dort die Cyberangriffe weiter durchzuführen.

Zu den weiteren Leaks zählen etwa die Identitäten des Systemadmins und des Senior-Managers der Gruppierung. Das nächste Ziel für seine Leaks hat „GangExposed“ schon jetzt auserkoren. Er will die Identität von „Target“ enthüllen, der ebenfalls zur Führungsriege von Conti gehört. Schon jetzt hat er ein Video geteilt, in dem mehrere Mitglieder der Ransomware-Gruppe – darunter auch „Target“ – in einem Privatjet feiern.

„GangExposed“ behauptet von sich selbst, kein „IT-Mensch“ zu sein. Stattdessen würde er sich darauf verlassen, öffentlich zugängliche Informationen zu sammeln, zu analysieren und die menschliche Psychologie zu nutzen, um seine Ziele zu finden. Er greift dafür auf „halbgeschlossene Datenbanken, Darknet-Dienste und gekaufte Informationen“ zurück. Zudem behauptet er, dass er „Puzzleteile zusammensetzen kann, die andere nicht einmal bemerken würden“. Um sich selbst zu schützen, wechselt er häufiger das Land und hat „striktere Standards für Privatsphäre als viele Objekte seiner Untersuchungen“.

Warum stellt sich der Hacker gegen Conti und Trickbot?

Als Erklärung für seine Leaks sagte „GangExposed“ gegenüber The Register: „Ich empfinde Vergnügen beim Gedanken daran, dass ich unsere Gesellschaft wenigstens von einigen von ihnen befreien kann. Ich habe einfach Freude daran, die komplexesten Fälle zu lösen“. Zudem ist der Leaker offenbar nicht von Geld getrieben, obwohl er für die gekauften Informationen offenbar schon eine Menge ausgegeben hat. Eine Datenbank, die sich mittlerweile in seinem Besitz befinden soll, kostete im Darknet 250.000 US-Dollar.

Zudem hätte er sich schon große Belohnungen für seine Informationen abholen können. So hat die US-Regierung bis zu zehn Millionen für Informationen versprochen, die zur Identifikation von wichtigen Personen der Conti-Gruppe führen. Zu den Personen, die auf dieser Liste stehen, gehören auch „Professor“ und „Target“. Der Leaker sagt dazu: „Im Grunde habe ich zehn Millionen verbrannt, als ich Professor veröffentlicht habe. Ich werde noch einmal zehn Millionen verbrennen, wenn ich Target enthülle.“

Denkbar wäre aber auch, dass sich der Leaker selbst vor einer Enthüllung und möglichen Strafen bei der Abholung solcher Belohnungen schützen will. Nandakishore Harikumar, CEO der Cybersecurity-Firma Technisanct, sagte gegenüber The Register: „Die Daten, die wir untersucht haben, weisen starke Indikatoren auf, dass hinter dem Leak entweder ein Ex-Mitglied oder ein verärgerter Insider der Gruppe steckt. Das lässt sich am Ausmaß des Zugangs, dem Kontext und der internen Koordination innerhalb der Dokumente festmachen“.

