Lockbit-Takedown: “Wir sollten nicht zu früh feiern”

Foto: Fractal Pictures | shutterstock.com

Mit Lockbit konnten die Strafverfolgungs- und Justizbehörden verschiedener Länder eine der weltweit größten Ransomware-(as-a-Service)-Operationen vermutlich zerschlagen. Dazu bildeten unter anderem Experten der europäischen Polizeibehörde Europol, der britischen National Crime Agency (NCA) sowie des Federal Bureau of Investigation (FBI) eine Task Force namens “Operation Cronos”. Auf deutscher Seite waren daran auch das LKA Schleswig-Holstein sowie das Bundeskriminalamt beteiligt.

Lockbit wird mit zahlreichen Ransomware-Angriffen auf diverse Unternehmen und Institutionen in Verbindung gebracht – etwa Continental, Boeing oder die Deutsche Energie-Agentur. Laut dem US-Justizministerium hat die Bande seit Ende 2019 mehr als 2.000 Opfer erpresst und soll dabei über Lösegeldzahlungen mehr als 120 Millionen Dollar eingenommen haben. Im Zuge des nun erfolgten Takedowns konnten die Ermittler nach eigener Aussage die gesamte Infrastruktur der Cyberkriminellen lahmlegen. Die Lockbit-Leak-Seite im Darkweb wurde in diesem Zuge zu einer Art Presseportal “umfunktioniert”:

Der Takedown im Überblick

Die wesentlichen Errungenschaften der Behördenaktion:

• 34 Server in diversen Ländern abgeschaltet, unter anderem auch in Deutschland;

• 14.000 Konten stillgelegt, die zum Beispiel mit Datenexfiltration in Verbindung stehen sollen;

• 200 Krypto-Wallets eingefroren, die mit der Ransomware-Operation in Verbindung stehen sollen;

• technische Infrastruktur des Lockbit-Service inklusive Leak-Seite im Dark Net unter Kontrolle der Behörden;

• neue Decryption-Tools in 37 Sprachen entwickelt (verfügbar über das “No More Ransom”-Portal);

• zwei mutmaßliche Lockbit-Akteure in Polen und der Ukraine verhaftet.

Wie Europol in seiner Pressemitteilung zur Aktion nahelegt, sei diese noch nicht abgeschlossen: “Im Zuge der Ermittlungen wurde eine große Menge an Daten zusammengetragen, die sich nun in den Händen der Strafverfolgung befinden. Diese Daten werden für fortlaufende Aktivitäten auf internationaler Ebene verwendet, um die Rädelsführer dieser Gruppe, genauso wie Entwickler, Affiliates, sowie Assets, die mit ihnen in Verbindung stehen, ins Visier zu nehmen.”

Die US-Regierung hat inzwischen laut dem Security-Portal Bleeping Computer hohe Belohnungen für Informationen in Aussicht gestellt, die dazu beitragen, Lockbit-Beteiligte und -Partner zu lokalisieren und identifizieren. Tipps die zu Mitgliedern der Ransomware-Bande führen, sind den US-Behörden demnach zehn Millionen Dollar wert, Hinweise auf Affiliates fünf Millionen. Für anonyme Hinweise wurde ein dedizierter Tor-Server aufgesetzt.

US-Generalstaatsanwalt Merrick Garland nahm im Rahmen einer Pressekonferenz Stellung zur Aktion gegen Lockbit:

Wie eine ausführliche Analyse von Trend Micro (der Sicherheitsanbieter arbeitete in Sachen Lockbit mit der britischen NCA zusammen) zeigt, entwickelte die Ransomware-Gruppe zum Zeitpunkt des Takedowns offenbar gerade eine neue Version ihrer Verschlüsselungs-Malware mit erweiterten Fähigkeiten. Die umfassende Analyse des Quellcodes durch die Sicherheitsexperten dürfte ein Comeback von Lockbit deutlich erschweren.

Das sagen Sicherheitsexperten

Etliche Sicherheitsexperten haben bereits zum Takedown von Lockbit Stellung genommen. Das allgemeine Echo ist dabei natürlich positiv – allerdings gibt es auch Zweifel, ob die Bedrohung durch Lockbit nun tatsächlich ein Ende hat.

Sandra Joyce, VP Mandiant Intelligence bei Google Cloud:

“Das ist ein gerechter, schwerer Schlag gegen einen bösartigen Akteur, der weltweit finanzielle Verluste und echtes Leid verursacht hat. Was die Störung von Ransomware-Operationen angeht, könnten wir uns nicht viel mehr wünschen. Diesen Prozess hoffen wir in Zukunft öfter zu sehen. Bevor wir jedoch unsere Abwehrkräfte schwächen, sollten wir bedenken, dass Lockbit in einem Markt agiert, in dem Wettbewerber nur darauf warten, ihren Platz einzunehmen.”

Chester Wisniewski, Director, Global Field CTO bei Sophos:

“Lockbit ist zur produktivsten Ransomware-Gruppe avanciert, seit Conti Mitte 2022 von der Bildfläche verschwunden ist. Alles, was ihre Operationen stört und Misstrauen unter ihren Partnern und Lieferanten sät, ist ein großer Gewinn für die Strafverfolgung. Wir sollten jedoch nicht zu früh feiern. Ein Großteil ihrer Infrastruktur ist immer noch online, was wahrscheinlich bedeutet, dass sie sich dem Zugriff der Polizei entzieht und die Kriminellen noch nicht gefasst worden sind.”

Robert McArdle, Director Forward Looking Threat Research bei Trend Micro:

“Dieser Takedown macht deutlich, dass alle kriminellen Partner jede künftige Zusammenarbeit mit Lockbit überdenken sollten und sich durch die Zusammenarbeit mit der Gruppierung einem erhöhten Risiko von Strafverfolgungsmaßnahmen aussetzen.”

Mark Stockley, Cyberevangelist bei Malwarebytes:

“Die wesentliche, noch unbeantwortete Frage ist, wie viel von der Lockbit-Gruppe noch übrig ist und wie ihr Plan aussieht. Die ‘Marke’ Lockbit dürfte das kaum überleben, ich erwarte also ein Rebranding oder dass sich die verbliebenen Mitglieder auf andere Gruppen verteilen – ähnlich wie es im Fall von Conti gelaufen ist. Fraglich ist allerdings, ob überhaupt noch irgendjemand mit ihnen zusammenarbeiten möchte. Der Takedown wird nicht dafür sorgen, dass Ransomware von der Bildfläche verschwindet – aber nun werden alle Cybercrime-Akteure mit der Angst leben, dass die Strafverfolgungsbehörden ihre Gruppierungen – oder deren Partner – bereits infiltriert haben.”

Mikko Hypponen, Chief Research Officer bei WithSecure:

Daniel Cuthbert, Mitglied des Cyber Security Advisory Board der britischen Regierung:

Richard Cassidy, Field CISO bei Rubrik:

“Zweifellos ist die Nachricht, dass die Aktivitäten von Lockbit zerschlagen wurden, eine willkommene Entwicklung auf dem Schlachtfeld der Ransomware. Aber der Kampf ist noch lange nicht gewonnen. Auch wenn die Operationen von Lockbit für einen unbestimmten Zeitraum beeinträchtigt sind, sollten wir die Anpassungsfähigkeit der Gruppe nicht unterschätzen.”

Charles Carmakal, CTO bei Mandiant Consulting:

“Lockbit-Mitglieder haben rücksichtlos Kinderkrankenhäuser, Regierungseinrichtungen und verschiedene andere Ziele angegriffen. Die Verhaftungen, Anklagen und Beschlagnahme von Infrastrukturen und Vermögenswerten sind bedeutende Maßnahmen der globalen Strafverfolgungsbehörden. Partner von Lockbit sollten jetzt sehr besorgt sein, insbesondere da die Strafverfolgungsbehörden den Opfern weiterhin Entschlüsselungsprogramme zur Verfügung stellen. Einige Betreiber machen wahrscheinlich mit Lockbit weiter, andere wechseln zu anderer RaaS (Ransomware as a Service). Insbesondere in Ländern, in denen die Strafverfolgungsbehörden bereit sind, Verhaftungen vorzunehmen, werden einige Betreiber wahrscheinlich ihre Aktivitäten einschränken oder vollkommen aufgeben.”

Lockbit meldet sich zurück

Wie das Security-Portal Bleeping Computer (BC) berichtet, hat Lockbit nur wenige Tage nach dem Takedown seine Ransomware-Kampagne offenbar auf neuer Infrastruktur wiederaufgesetzt. In einer länglichen “Revival Message” äußern sich die Cyberkriminellen zudem zur Behördenaktion, drohen damit, künftig den Regierungssektor verstärkt ins Visier nehmen zu wollen und brüsten sich mit Millionenverdiensten und ihren Hacking-Skills. Der grundlegende Tenor der Nachricht: Aufgrund der vielen Millionen Dollar und der damit verbundenen Annehmlichkeiten sei man nachlässig geworden, was dazu geführt habe, dass die Behörden bestimmte Informationen abgreifen konnten. Diese seien – mit Ausnahme des Panel-Quellcodes – wertlos. Was die Decryption-Keys angehe, hätten die Ermittler lediglich einen Bruchteil sichergestellt.Künftig werde es Nachlässigkeiten nicht mehr geben – überhaupt sei die ganze Aktion von FBI und Co. vor allem ein großes Schmierentheater, bei dem unter anderem willkürlich Personen verhaftet worden seien, die nichts mit Lockbit zu tun hätten.

Die ganze Aktion sei demnach vor allem von Verzweiflung getrieben: “Alle Behördenaktionen zielen darauf ab, mein Affiliate-Programm zu diskreditieren und mich zu demotivieren. Sie wollen mir Angst machen, damit ich aufgebe und meinen Job hinschmeiße, weil sie nicht in der Lage sind, mich aufzuspüren und auszuschalten”, ist in der Mitteilung unter anderem zu lesen.

Wie die Sicherheitsexperten von Zscaler über den Kurznachrichtendienst X mitteilen, konnten sie ab Ende Februar 2024 neue Lockbit-Ransomware-Angriffe beobachten.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern