Lockbit-Ransomware-Gruppe: Zerschlagung wohl nur kurzfristiger Erfolg

Bereits Anfang März 2024 hat sich die gefährliche Hacker-Gruppe Lockbit zurückgemeldet

[datensicherheit.de, 08.04.2024] Als im Februar 2024 die Meldung über die erfolgreiche Zerschlagung der „Lockbit“-Ransomware-Gruppe um die Welt ging, wurde dies als ein entscheidender Schlag internationaler Ermittlungsbehörden gegen die Cyber-Kriminalität gewürdigt. Doch gerade einmal eine Woche später, Anfang März 2024, hat sich laut einer aktuellen Meldung der PSW GROUP diese gefährliche Hacker-Gruppe auch schon wieder zurückgemeldet: In einer Stellungnahme habe diese gar eigene Fehler zugegeben und erklärt, weiterhin aktiv zu sein.

Foto: PSW GROUP

Patrycja Schrenk rät, weiterhin in die Verteidigung digitaler Infrastrukturen zu investieren, Cyber-Sicherheitsmaßnahmen zu verbessern und Fähigkeit zur Erkennung sowie Reaktion auf Bedrohungen ständig weiterentwickeln!

Dass die Lockbit-Gruppe so schnell wieder aktiv wurde, ist äußerst beunruhigend

„In der Welt der Cyber-Kriminalität ist nichts sicher, und oft verschieben sich Gruppen oder tauchen unter neuen Namen und Taktiken wieder auf. Die Zerschlagung der ,Lockbit’-Gruppe war zweifellos ein wichtiger Meilenstein im Kampf gegen Ransomware und die digitale Kriminalität. Allerdings ist es äußerst beunruhigend zu sehen, dass die ,Lockbit’-Gruppe so schnell wieder aktiv geworden ist“, kommentiert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Das schnelle „Comeback“ dieser Gruppe verdeutliche die Anpassungsfähigkeit und Entschlossenheit dieser kriminellen Organisation, ihre Aktivitäten fortzusetzen und weiterhin Schaden anzurichten. „Lockbit“ bleibe weiterhin eine große Bedrohung für Unternehmen und Organisationen weltweit.

Lockbit hatte lange Zeit das Image des unangefochtenen Königs der Ransomware

Tatsächlich habe „Lockbit“ lange Zeit als unangefochtener „König der Ransomware“ gegolten: Fast ein Fünftel der weltweiten Ransomware-Angriffe gingen laut Schrenk wohl auf das Konto dieser Hacker-Gruppe. Dabei solle sie mehrere Millionen Dollar von Tausenden Unternehmen sowie Einzelpersonen weltweit erbeutet haben – allein in den USA würden der Gruppe Angriffe auf mehr als 1.700 Organisationen vorgeworfen. „Lockbit“ habe es dabei auf einige der größten Namen der Weltwirtschaft abgesehen: Unternehmen wie Boeing, der Chiphersteller TSMC, das Raumfahrtunternehmen SpaceX, die ICBC, Chinas größte Bank, sowie der deutsche Automobilzulieferer Continental zählten zu ihren prominentesten Opfern.

„Was ,Lockbit’ besonders gefährlich macht, ist ihr ausgeklügeltes Geschäftsmodell, das einem Affiliate-Programm gleicht. Denn anstatt selbst die Angriffe durchzuführen, agiert ,Lockbit’ größtenteils als Dienstleister im Cybercrime-Umfeld.“ Die Gruppe stelle ihre Schadsoftware anderen Kriminellen zur Verfügung, welche dann die Angriffe ausführten, mit den Opfern verhandelten und Lösegeld erpressten. Für diese Dienstleistung kassiere „Lockbit“ eine Art Lizenzgebühr – „mit einem derart großen Erfolg, dass die Schadsoftware der Gruppe im Jahr 2022 sogar als weltweit am häufigsten eingesetzte Ransomware-Variante bezeichnet wurde“, so Schrenk.

Trotz Beschlagnahmung von Servern konnten Behörden nicht alle Lockbit-Domains übernehmen

Diese erfolgreiche Cybercrime-Gruppe sei den Strafverfolgungsbehörden Anfang des Jahres 2024 ins Netz gegangen, weil diese offenbar ausgerechnet eine nicht gepatchte Schwachstelle in der Skriptsprache „PHP“ hätten ausnutzen können – normalerweise seien ungepatchte IT-Sicherheitslücken das Geschäftsmodell von „Lockbit“. Doch trotz der Beschlagnahmung von 34 Servern und Festnahmen im Rahmen der „Operation Cronos“ hätten die Behörden nicht alle Domains von „Lockbit“ übernehmen können:

Die Gruppe habe sich mit ihrer Website unter neuer Adresse und einer Mischung aus Selbstkritik und Arroganz zurückgemeldet. In einer Stellungnahme Anfang März 2024 hätten sie zugegeben, dass ihre eigenen Systeme nicht auf dem neuesten Stand gewesen seien, weil sie „faul“ geworden seien und sich in einer gewissen Selbstzufriedenheit eingerichtet hätten: „Persönliche Fahrlässigkeit und Verantwortungslosigkeit“ habe es den Behörden erlaubt, die Website der Gruppe zu kapern. Weiter behaupte die Gruppe, dass ihre Server wiederhergestellt und sie bereit sei, erneut zuzuschlagen. Ihre Affiliates habe sie bereits aufgefordert, staatliche Einrichtungen häufiger ins Visier zu nehmen.

Zerschlagung einer Ransomware-Gruppe wie Lockbit löst grundsätzliches Problem nicht

„Diese Aussagen lassen aufhorchen und warnen auch vor einer möglichen Eskalation der Cyber-Angriffe. Gleichzeitig macht die Reaktion der Gruppe klar, dass der Kampf gegen Cyber-Kriminalität eine kontinuierliche und koordinierte Anstrengung erfordert – sowohl seitens der Strafverfolgungsbehörden als auch von Unternehmen und jedem Einzelnem.“

Die Zerschlagung dieser Cyber-Kriminellen sei ein wichtiger Schritt, „aber wir dürfen nicht den Fehler machen, dies als das Ende des Problems anzusehen“, warnt Schrenk. Man müsse weiterhin in die Verteidigung unserer digitalen Infrastrukturen investieren, unsere Cyber-Sicherheitsmaßnahmen verbessern und unsere Fähigkeit zur Erkennung und Reaktion auf Bedrohungen ständig weiterentwickeln, um mit der sich ständig verändernden Landschaft der Cyber-Kriminalität Schritt zu halten.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 05.03.2024
Bedrohungslage / Die Lockbit-Ransomware-Gruppe: Zerschlagen! Oder doch nicht?

datensicherheit.de, 26.02.2024]
LockBit-Disruption: Strafverfolgungsbehörden nutzten Trend Micros Expertise / Neueste, noch unveröffentlichte LockBit-Version wurde von Trend Micro analysiert und vereitelt

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus