Tage später war es soweit Die berüchtigte in Russland ansässige LockBit-Ransomware-Gruppe, die durch eine umfassende, jahrelang andauernde Strafverfolgungsaktion außer Gefecht gesetzt wurde, ist mit einer neuen Leak-Site und einer Reihe neuer Opfer ins Dark Web zurückgekehrt.
In einer ausführlichen, grenzwertig weitschweifigen Erklärung, die am Samstag veröffentlicht wurde, machte der verbleibende LockBit-Administrator seine eigene Fahrlässigkeit für die Störung der letzten Woche verantwortlich. Eine globale Strafverfolgungsbehörde startete eine Operation, die die Infrastruktur der Ransomware-Bande kaperte, indem sie eine Schwachstelle in den öffentlich zugänglichen Websites von LockBit ausnutzte, einschließlich der Dark-Web-Leak-Site, die die Bande zur Veröffentlichung gestohlener Daten von Opfern nutzte.
Bei der „Operation Cronos“, wie die Bundesbehörden sie nannten, wurden außerdem 34 Server in Europa, Großbritannien und den USA abgeschaltet, mehr als 200 Kryptowährungs-Wallets beschlagnahmt und zwei mutmaßliche LockBit-Mitglieder in Polen und der Ukraine festgenommen.
Nur fünf Tage später gab LockBit bekannt, dass der Betrieb wieder aufgenommen wurde, und gab an, die Wiederherstellung von Backups durchgeführt zu haben, die von der Abschaltung durch die Regierung nicht betroffen waren. In seiner Erklärung drohte der LockBit-Administrator mit Vergeltungsmaßnahmen, indem er sagte, dass das Unternehmen den Regierungssektor ins Visier nehmen würde.
Ein Sprecher der National Crime Agency, die die Operation Cronos leitete, teilte Tech am Montag nach der Rückkehr von LockBit mit, dass die Takedown-Operation „die Systeme von LockBit erfolgreich infiltriert und unter ihre Kontrolle gebracht hat und deren gesamte kriminelle Operation gefährden konnte“.
„Ihre Systeme wurden jetzt von der NCA zerstört und wir gehen davon aus, dass LockBit weiterhin vollständig kompromittiert ist“, sagte die NCA.
Dass die Strafverfolgungsbehörden einen überwältigenden Sieg erringen, während der scheinbare LockBit-Rädelsführer weiterhin auf freiem Fuß ist, mit Vergeltung droht und neue Opfer ins Visier nimmt, bringt die beiden in Konflikt – vorerst. Angesichts der Tatsache, dass seit dem dreisten Neustart mehr als ein Dutzend neue Opfer gemeldet wurden, könnte der Untergang von LockBit übertrieben gewesen sein.
Während das Katz-und-Maus-Spiel zwischen der Regierung und den Kriminellen weitergeht, gehen auch die Kampfgespräche weiter – und die kühnen Behauptungen beider Seiten.
Während die NCA eine umfassende Enthüllung des langjährigen Anführers der Bande, der unter dem Namen „LockBitSupp“ bekannt ist, versprach, gab die Behörde am Freitag in einem Beitrag auf LockBits eigener kompromittierter Dark-Web-Leak-Site wenig über den Administrator bekannt.
„Wir wissen, wer er ist. Wir wissen, wo er lebt. Wir wissen, wie viel er wert ist. LockBitSupp hat sich mit den Strafverfolgungsbehörden in Verbindung gesetzt :)“, heißt es in der vage formulierten NCA-Nachricht.
US-Strafverfolgungsbehörden haben außerdem eine Belohnung in Höhe von mehreren Millionen Dollar für Details ausgesetzt, „die zur Identifizierung oder zum Aufenthaltsort von Personen führen, die eine Schlüsselposition in der LockBit-Bande innehaben“ – was darauf hindeutet, dass die Behörden entweder nicht über diese Informationen verfügen oder kann es noch nicht beweisen.
Da der scheinbare Administrator LockBitSupp immer noch in Aktion ist – das letzte verbleibende Teil des LockBit-Puzzles – ist es unwahrscheinlich, dass LockBit verschwindet. Es ist bekannt, dass sich Ransomware-Banden schnell neu formieren und sich einen neuen Namen geben, selbst nachdem die Strafverfolgungsbehörden behauptet haben, sie endgültig ausgeschaltet zu haben.
Nehmen Sie eine andere in Russland ansässige Ransomware-Bande: ALPHV, auch bekannt als BlackCat, erlitt letztes Jahr einen ähnlichen Schlag, als Strafverfolgungsbehörden ihre Dark-Web-Leak-Site beschlagnahmten und Entschlüsselungsschlüssel freigaben, damit Opfer wieder Zugriff auf gestohlene Dateien erhalten konnten. Nur wenige Tage später gab die ALPHV bekannt, dass sie ihre Leak-Site „freigegeben“ habe und behauptete, das FBI verfüge nur über Entschlüsselungsschlüssel für etwa 400 Unternehmen – so blieben mehr als 3.000 Opfer, deren Daten weiterhin verschlüsselt seien.
Zum Zeitpunkt des Verfassens dieses Artikels ist die Leak-Site von ALPHV weiterhin in Betrieb – und es kommen fast täglich neue Opfer hinzu.
Andere Ransomware-Banden wie Hive und Conti sahen sich in den letzten Jahren ähnlichen Strafverfolgungsmaßnahmen gegenüber, haben sich aber angeblich einfach umbenannt und unter anderen Namen neu gegründet. Mitglieder von Conti sollen unter den neuen Gruppen Black Basta, BlackByte und Karakurt operieren, während ehemalige Hive-Mitglieder in eine neue Ransomware-Firma mit dem Namen Hunters International umbenannt wurden.
Die Abschaltung von LockBit wird zwar von vielen als eine der bedeutsamsten der letzten Jahre gefeiert, dürfte aber kaum anders verlaufen – und die Anzeichen dafür sind bereits vorhanden.
In seinem ausführlichen Beitrag behauptete LockBit, dass die Strafverfolgungsbehörden nur eine Handvoll Entschlüsselungsprogramme erhalten, die falschen Personen verhaftet und es nicht geschafft hätten, alle von ihnen kontrollierten Websites zu löschen. LockBit versprach außerdem, dass es angesichts der Operation die Sicherheit seiner Infrastruktur verbessern, Entschlüsselungsprogramme manuell freigeben und sein Partnerprogramm fortsetzen werde.
„Kein FBI mit seinen Assistenten kann mich erschrecken und aufhalten, die Stabilität des Dienstes wird durch jahrelange kontinuierliche Arbeit garantiert“, fuhr LockBit in seiner Schimpftirade fort. „Sie wollen mir Angst machen, weil sie mich nicht finden und beseitigen können, ich bin nicht aufzuhalten.“
Die NCA teilte Tech mit, dass die Agentur „erkannt habe, dass LockBit wahrscheinlich versuchen würde, ihre Systeme neu zu gruppieren und neu aufzubauen“, räumte jedoch ein, dass die Arbeit der Agentur die Gruppe weiterhin stört.
„Wir haben eine große Menge an Informationen über sie und die mit ihnen verbundenen Personen gesammelt, und unsere Arbeit, sie ins Visier zu nehmen und zu stören, geht weiter“, sagte NCA-Sprecher Richard Crowe.
Das Eingeständnis der Strafverfolgungsbehörden, dass sie immer noch daran arbeiten, die Bande zu zerschlagen, sagt uns alles, was wir wissen müssen: LockBit ist noch nicht tot und war es wahrscheinlich auch nie.