Das US-Justizministerium gab am 12. Juni Ortszeit bekannt, dass sich ein aus Irland an die Vereinigten Staaten ausgelieferter ukrainischer Staatsbürger in Anklagen im Zusammenhang mit seiner Rolle bei der Ransomware-Operation Conti schuldig bekannt hat. Der Mann, Oleksii Oleksiyovych Lytvynenko, 44, bekannte sich der Verschwörung zum Drahtbetrug für seine Rolle bei mehreren Conti-Ransomware-Angriffen zwischen 2021 und 2022 schuldig.

Die Staatsanwälte wiesen darauf hin, dass Lytvynenko und seine Mitarbeiter die Conti-Ransomware nutzten, um in die Netzwerke mehrerer Opferorganisationen in den USA und im Ausland einzudringen, deren Systeme und Geräte nach dem Datendiebstahl zu verschlüsseln und damit Bitcoin-Lösegeld von den Opfern zu erpressen. Laut dem vom Justizministerium offengelegten Fall gab Lytvynenko zu, seit etwa September 2021 der Conti-Bande beigetreten zu sein und gestohlene Daten von acht US-amerikanischen Opfern und vier ausländischen Opfern zu besitzen.

Er gab auch zu, sich einer Gruppe angeschlossen zu haben, die von einem anderen Conti-Mitverschwörer angeführt wurde, der für die Entwicklung eines Schadprogramms namens „Loader“ verantwortlich war. Diese Tools werden verwendet, um andere Malware-Komponenten bereitzustellen, die zur Durchführung des Angriffs erforderlich sind, und sind ein wichtiges Glied in der Ransomware-Angriffskette.

Die Conti-Ransomware-Operation war zu dieser Zeit eine der aktivsten und zerstörerischsten Cyberkriminalitätsorganisationen der Welt und richtete sich gegen Krankenhäuser, Unternehmen, Schulen und Regierungsbehörden auf der ganzen Welt. Aus Gerichtsdokumenten geht hervor, dass die Conti-Bande weltweit mehr als 1.000 Opfer im Visier hatte und durch Lösegeldforderungen illegale Einnahmen in Höhe von mehr als 150 Millionen US-Dollar erzielte.

Das Schuldeingeständnis erfolgte im Anschluss an Lytvynenkos Verhaftung in Irland im vergangenen Juli und seine anschließende Auslieferung an die Vereinigten Staaten. Die Höchststrafe, die ihm aufgrund der aktuellen Anklage droht, beträgt 20 Jahre Gefängnis, die endgültige Strafe wird vom Gericht festgelegt.

Aus öffentlich zugänglichen Informationen geht hervor, dass sich die Ransomware-Bande Conti vermutlich aus der Cybercrime-Gruppe Ryuk entwickelt hat und eng mit der Malware-Gruppe TrickBot verwandt ist. Die Gruppe ist dafür berüchtigt, groß angelegte Ransomware-Angriffe gegen medizinische Einrichtungen, Regierungsbehörden und große Unternehmen zu starten.

Conti kündigte die Schließung im Jahr 2022 an, da interne Chat-Protokolle durchgesickert waren und der Druck der Strafverfolgungsbehörden weltweit zunahm. Sicherheitsforscher glauben, dass die Kernmitglieder von Conti seitdem nicht aus der Cyberkriminalität ausgestiegen sind, sondern sich neu organisiert haben und mehreren anderen Ransomware-Gruppen beigetreten sind oder diese geleitet haben, darunter BlackCat (auch bekannt als ALPHV), Black Basta, ZEON, Hive, Quantum, BlackByte, Karakurt und Silent Ransom Group.

Zusätzlich zur Anklage gegen Lytvynenko kündigten die Vereinigten Staaten und das Vereinigte Königreich bereits im September 2023 Sanktionen an und strafrechtliche Anklage gegen neun russische Staatsbürger im Zusammenhang mit den Ransomware-Operationen TrickBot und Conti und behaupteten, sie seien an Angriffen auf mehr als 900 Opfer weltweit beteiligt gewesen. Diese Maßnahmen zeigen einmal mehr die Stärke und Beharrlichkeit der Zusammenarbeit zwischen multinationalen Strafverfolgungsbehörden bei der Bekämpfung grenzüberschreitender Ransomware-Verbrechen.