LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario

Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

[datensicherheit.de, 21.02.2024] Strafverfolgungsbehörden bekämpfen Ransomware-Gruppierungen auf einem „Schlachtfeld“, auf dem sich Zerschlagung und Auferstehung cyber-krimineller Vereinigungen abscheinend zyklisch wiederholen. In der Vergangenheit konnten schon viele Gruppen erfolgreich bekämpft werden – welche dann aber kurz darauf unter anderem Namen mit angepassten Techniken ihre Aktivitäten wieder aufnehmen konnten. Anlässlich der Zerschlagung der „LockBit“-Gruppe erinnert Richard Cassidy, „Field CISO“ bei Rubrik, in seinem Kommentar daran, dass jede Zerschlagung eine willkommene Nachricht sei – „aber der Zyklus endet nicht, solange die grundlegenden Probleme nicht gelöst werden“. Zu diesen zählen demnach: Die finanziellen Anreize für Ransomware-Gruppierungen, die relative Anonymität von Transaktionen mit „Krypto-Währungen“ sowie die unzähligen regelmäßig bekannt werdenden, jedoch nicht behobenen Schwachstellen. Insbesondere die Gruppierung „LockBit“ dürfte laut Cassidys Einschätzung der Strafverfolgung finanziell überlegen sein: Dadurch sei diese Gruppe bestens mit dem Geld ausgestattet, um sich neu aufzustellen und notfalls unter anderem Namen weiterzumachen.

Richard Cassidy: Der Zyklus von Zerschlagung und Wiederauftreten bei Ransomware-Gruppierungen wird auf unabsehbare Zeit weitergehen…

Der Kampf gegen Ransomware-Gruppierungen ist noch lange nicht gewonnen

Cassidy betont: „Zweifellos ist die Nachricht, dass die Aktivitäten von ,LockBit’ zerschlagen wurden, eine willkommene Entwicklung auf dem Schlachtfeld der Ransomware. Aber der Kampf ist noch lange nicht gewonnen. Auch wenn die Operationen von ,LockBit’ für einen unbestimmten Zeitraum beeinträchtigt sind, sollten wir die Anpassungsfähigkeit der Gruppe nicht unterschätzen.“

Diese cyber-kriminellen Gruppierungen hätten stets eine bemerkenswerte Fähigkeit bewiesen, sich an die Maßnahmen der Strafverfolgung anzupassen, ihre Taktiken weiterzuentwickeln und ihre Operationen fortzusetzen – manchmal unter einem neuen Namen.

Die Vergangenheit zeigte, wie widerstandsfähig Ransomware-Gruppen sind

Cassidy berichtet: „Wir konnten in der Vergangenheit sehen, wie widerstandsfähig Ransomware-Gruppen sind, die von den Strafverfolgungsbehörden zerschlagen wurden. Darunter waren zum Beispiel ,Hive’, ,ALPHV/BlackCat’ und der Wandel von ,DarkSide’ zu ,BlackMatter’, die zeigen, dass die Gruppierungen von Cyber-Kriminellen in der Lage sind, sich zu erholen, sich umzubenennen sowie in neue oder bestehende Netzwerke zu integrieren und dabei die Unterstützung durch das Ransomware-as-a-Service-Ökosystem zu nutzen.“

Man müsse sich fragen, ob die finanziellen Ressourcen von Gruppen wie „LockBit“ nicht umfangreicher sind als jener, mit ihrer Zerschlagung beauftragten Strafverfolgungsbehörden. „LockBit“ sei durch den Erfolg ihrer Aktivitäten finanziell extrem gut aufgestellt und habe unter anderem allein von US-Organisationen rund 91 Millionen US-Dollar eingetrieben. Dadurch hätten sie die wirtschaftliche Macht, sich neu zu gruppieren und neue Taktiken, Techniken und Verfahren zu entwickeln, um aus den Fehlern, die zu ihrer Zerschlagung geführt haben, zu lernen und sich anzupassen sowie ihren Ansatz – falls notwendig – neu zu erfinden.

Zyklische Zerschlagung und erneutes Aufleben der Ransomware-Gruppen verweist auf großes Problem

„Die zyklischen Zerschlagungen durch die Strafverfolgung und das erneute Aufleben dieser Ransomware-Gruppen zeigen das große Problem im ,Ökosystem’ der Cyber-Kriminalität auf“, so Cassidy. Das grundlegende Problem seien die Triebkräfte hinter Ransomware-Angriffen.

Dazu zählten die finanziellen Anreize, die relative Anonymität von Transaktionen mit „Krypto-Währungen“ und die regelmäßig bekannt werdenden, aber nicht behobenen Schwachstellen. Cassidy prognostiziert abschließend: „Bis diese Probleme gelöst wurden, können wir davon ausgehen, dass der Zyklus von Zerschlagung und Wiederauftreten auf unabsehbare Zeit weitergehen wird.“

Weitere Informationen zum Thema:

Deutschlandfunk, 21.02.2024
Internationale Aktion / Hackernetzwerk LockBit zerschlagen / Internationale Ermittler haben das weltweit agierende Hacker-Netzwerk LockBit zerschlagen

Cybersecurity and Infrastructure Security Agency, 14.06.2023
UNDERSTANDING RANSOMWARE THREAT ACTORS: LockBit

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 23.01.2024]
Lockbit-Gruppe: Ransomware-Angriff per RaaS auf Subway / Richard Werner kommentiert Medienberichte zu jüngster Ransomware-Attacke einer der gefährlichsten RaaS-Akteure

datensicherheit.de, 11.11.2022
LockBit 3.0: BlackBerry kom mentiert Cyber-Angriff auf Continental / Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit

datensicherheit.de, 28.06.2022]
LockBit 3.0: Cyber-Kriminelle starten erstes Ransomware-Bug-Bounty-Programm / Tenable kommentiert Anpassungen Cyber-Krimineller an wachsenden Verfolgungsdruck