Lockbit wirklich endgültig zerschlagen?

Ermittler des NCA, Europol, dem FBI sowie Strafverfolgungsbehörden aus Deutschland, Frankreich, Japan, der Schweiz, Kanada, Australien, Schweden, den Niederlanden und Finnland haben in einer internationalen Operation anscheinend die Hackergruppe Lockbit zerschlagen. Die Erpressergruppe hatte mehrfach sensible Daten gestohlen und damit Lösegelder erpresst. Experten des Security-Anbieters Check Point gehen aber davon aus, dass “LockBit erhebliche Schwierigkeiten haben wird, Partner zu rekrutieren und zu halten, die diese Ransomware einsetzen.” Jedoch würden solche erfolgreichen Gruppen nicht komplett verschwinden. Daher geht Check Point von einer Art Rebranding aus.

Ransomware-Bande kaum komplett auszuschalten

“Wir sollten nicht zu früh feiern“, sagt auch Chester Wisniewski von Sophos. Die Zerschlagung dieser Cybercrime-Gruppe sei eine außergewöhnliche Leistung der Behörden und könnte auch für andere aktive Gruppen eine Warnung sein, dass sie nicht unantastbar seien. Die Aussage eines Vertreters von Lockbit lässt allerdings vermuten, dass eine Ransomware-Bande dieser Größenordnung nur schwer komplett ausgeschaltet werden kann. Von Seiten Lockbit heißt es, dass es nach wie vor Backup-Server gebe, die von den der Strafverfolgungsbehörden nicht betroffen seien.

Großteil der Infrastruktur noch online

Eine Einschätzung, die auch Chester Wisniewski, Director, Global Field CTO bei Sophos, teilt: „Lockbit ist zur produktivsten Ransomware-Gruppe avanciert, seit Conti Mitte 2022 von der Bildfläche verschwunden ist. Die Häufigkeit ihrer Angriffe und die Tatsache, dass sie unbegrenzt Infrastrukturen lahmlegen können, hat sie in den letzten Jahren zur gefährlichsten Gruppe gemacht. Alles, was ihre Operationen stört und Misstrauen unter ihren Partnern und Lieferanten sät, ist ein großer Gewinn für die Strafverfolgung. Ein Großteil ihrer Infrastruktur ist aber immer noch online, was wahrscheinlich bedeutet, dass sie sich dem Zugriff der Polizei entzieht und die Kriminellen noch nicht gefasst worden sind. Auch wenn wir nicht immer einen vollständigen Sieg erringen, wie es bei Qakbot der Fall war, so ist es doch ein Sieg, wenn wir sie stören, ihre Angst, erwischt zu werden, schüren und die Schwierigkeiten beim Betrieb ihres kriminellen Syndikats erhöhen.“

Technik der doppelten Erpressung

Die Ransomware-as-a-Service (RaaS)-Gruppe war seit September 2019 aktiv. Laut Check Point arbeitet LockBit mit einem RaaS-Modell, bei dem die Ransomware und die Infrastruktur anderen Cyberkriminellen, den sogenannten Affiliates, zur Verfügung gestellt werde, die dann die Angriffe durchführen. “Dadurch kann LockBit seine Operationen skalieren und eine größere Anzahl von Opfern erreichen. LockBit wendet auch die Technik der doppelten Erpressung an, indem es gestohlene Daten auf seinem Blog veröffentlicht, wenn das Lösegeld nicht gezahlt wird”, so Experten von Check Point.

Im Jahr 2023 war LockBit die dominanteste Ransomware-Gruppe, was die Zahl der öffentlich erpressten Opfer angeht, und veröffentlichte mehr als 1000 erpresste Organisationen. Die am meisten von dieser Gruppe betroffenen Länder sind die USA, Großbritannien, Frankreich, Deutschland und Kanada. Die am stärksten betroffenen Branchen sind das verarbeitende Gewerbe (fast 25 % der Opfer) und der Einzelhandel.