Die LockBit-Ransomware-Bande übernimmt die Verantwortung für den Juli-Cyberangriff auf den Cybersicherheitsgiganten Entrust, aber mit einer Wendung – die Gruppe beschuldigt ihr jüngstes Opfer auch eines Gegenangriffs.
Entrust, das sich selbst als weltweit führend in den Bereichen Identitäten, Zahlungen und Datenschutz bezeichnet, sagte Ende Juli, dass eine „unbefugte Partei“ auf Teile seines Netzwerks zugegriffen habe, lehnte es jedoch ab, die Art des Angriffs zu beschreiben oder zu sagen, ob Kundendaten gestohlen wurden. Zu den Kunden von Entrust gehören eine Reihe von US-Regierungsbehörden, darunter die Heimatschutzbehörde, das Energieministerium und das Finanzministerium.
Am Freitag übernahm LockBit, eine prominente Ransomware-Operation, die zuvor Angriffe auf Foxconn und Accenture behauptet hatte, die Verantwortung für den Cyberangriff im Juli, indem sie Entrust zu ihrer Dark-Web-Leak-Site hinzufügte. Die Bande begann an diesem Wochenende damit, interne Daten des Unternehmens durchsickern zu lassen, was darauf hindeutet, dass Entrust sich möglicherweise geweigert hat, die Lösegeldforderungen der Gruppe zu erfüllen.
Aber kurz darauf zwang ein offensichtlicher DDoS-Angriff (Distributed Denial of Service) die Dark-Web-Leak-Site von LockBit offline.
Azim Shukuhi, ein Sicherheitsforscher bei Talos von Cisco, zitiert ein LockBit-Mitglied mit dem Namen „LockBitSupp“, das behauptete, die Website erhalte „400 Anfragen pro Sekunde von über 1.000 Servern“. Während die Täter des DDoS-Angriffs unbekannt bleiben, sagte dasselbe LockBit-Mitglied Computer piepst dass der Angriff „unmittelbar nach der Veröffentlichung von Daten und Verhandlungen begann“ und separat teilte der Malware-Forschungsgruppe VX-Underground mit, dass sie glaubten, dass der Angriff von jemandem gestartet wurde, der mit Entrust verbunden war, und verwies auf Junk-Internetverkehr mit der Aufschrift „DELETE_ENTRUSTCOM_MOTHERFUCKERS“.
Die Website von LockBit bleibt am Montag weitgehend unzugänglich, zeigte jedoch kurz eine Warnmeldung, dass die Bande plant, die gestohlenen Daten von Entrust in Peer-to-Peer-Netzwerke hochzuladen, wodurch es fast unmöglich wird, die Daten zu entfernen.
Tech hat Entrust gebeten, jegliche Kenntnis oder Verbindung zu dem DDoS-Angriff zu bestätigen oder abzulehnen. Ken Kadet, Vizepräsident für Kommunikation bei Entrust, lehnte es ab, auf mehrere E-Mails zu antworten, die vor der Veröffentlichung gesendet wurden.
Offensive Cyberangriffe – oder „Hacking Back“ gegen Cyberkriminelle, wie z. B. das Starten von DDoS-Angriffen gegen unfreiwillige Teilnehmer – sind nach US-Recht illegal und könnten als Bundesstraftat nach dem Computer Fraud and Abuse Act eingestuft werden. Hacking Back ist seit Jahren Gegenstand intensiver Debatten als mögliche Alternative zum Schutz von US-Unternehmen vor internationalen Bedrohungen, obwohl Kritiker sagen, dass private Unternehmen die Teilnahme an Cyberkriegsführungen riskieren, diplomatische Spannungen zu eskalieren und die staatlichen Beziehungen zu destabilisieren.
Oder als ein Sicherheitsforscher bringt es: „Die Idee, dass ein Cybersicherheitsunternehmen einen DDoS-Angriff in die Luft jagen würde, würde einen gefährlichen Präzedenzfall schaffen [sic].“