Die Lockbit-Ransomware-Gruppe: Zerschlagen! Oder doch nicht?

Die Welt der Cyberkriminalität ist ein ständiger Kampf zwischen Hackern und denjenigen, die versuchen, sie zu stoppen. Ein Hauptakteur dabei ist Lockbit. Diese Ransomware-Gruppe gilt zweifellos als eine der gefährlichsten Hackergruppen der Welt und hat bereits eine lange Spur der Verwüstung hinterlassen.

Mit hochentwickelten Techniken haben sich die Kriminellen Mitglieder der Gruppe Zugang zu den sensibelsten Daten und Systemen einiger der prominentesten Unternehmen der Welt verschafft. Flugzeughersteller, Chiphersteller, Raumfahrtunternehmen: Keine Branche schien immun gegen ihre Angriffe zu sein. Vor zwei Wochen haben internationale Ermittler nach eigenen Angaben nun „die schädlichste Cyberkriminalitätsgruppe der Welt“ zerschlagen. Oder etwa doch nicht? Denn jüngste Meldungen aus der letzten Woche legen die Vermutung nahe, dass Lockbit noch immer aktiv ist. Wir werfen einen Blick auf die Ereignisse.

Wer ist Lockbit? Die Ransomware-Könige im Fokus

In der Welt der Cyberkriminalität gibt es eine Gruppe, die besonders hervorsticht: Lockbit. Diese russischsprachige Ransomware-Gruppe, die mindestens seit dem Jahr 2020 existiert, hat sich im Laufe der Jahre den zweifelhaften Ruf als ein Marktführer für Ransomware-Angriffe erarbeitet, bei denen sie mittels Malware wichtige Daten ihrer Opfer verschlüsseln und dann Lösegeld erpressen. Doch wer genau verbirgt sich hinter dem Namen Lockbit und welche Auswirkungen haben ihre Aktivitäten?

Lockbit galt lange Zeit als unangefochtener König der Ransomware. Nicht ohne Grund, denn das Ausmaß ihrer Machenschaften ist erschreckend: Fast ein Fünftel der weltweiten Ransomware-Angriffe sollen auf das Konto von Lockbit gehen. Dabei sollen sie mehrere Milliarden Dollar erbeutet haben. Vermutlich wurden Tausende von Menschen weltweit Opfer der Attacken von Lockbit – allein in den USA werden der Gruppe Angriffe auf mehr als 1700 Organisationen aus mehreren Branchen vorgeworfen. Lockbit hatte dabei nicht nur kleine Unternehmen im Visier, sondern es auf einige der größten Namen der Weltwirtschaft abgesehen: Unternehmen wie Boeing, der Chiphersteller TSMC, das Raumfahrtunternehmen SpaceX, die ICBC, Chinas größte Bank, sowie der deutsche Automobilzulieferer Continental zählen zu ihren prominentesten Opfern.

Was Lockbit besonders gefährlich macht, ist ihr ausgeklügeltes Geschäftsmodell. Anstatt selbst die Angriffe durchzuführen, agiert Lockbit größtenteils als Dienstleister im Cybercrime-Umfeld. Sie stellen ihre Schadsoftware anderen Kriminellen zur Verfügung, die dann die Angriffe ausführen, mit den Opfern verhandeln und Lösegeld erpressen. Für diese Dienstleistung kassiert Lockbit eine Art Lizenzgebühr – mit einem derart großen Erfolg, dass die Schadsoftware der Gruppe im Jahr 2022 sogar als „weltweit am häufigsten eingesetzte Ransomware-Variante“ bezeichnet wurde! Wenn Sie mehr über das Dienstleistungsmodell erfahren möchten, empfehlen wir Ihnen unseren Artikel Cybercrime-as-a-Service (CaaS): Cyberkriminalität für Jedermann (https://www.psw-group.de/blog/cybercrime-as-a-service-caas/10854 )

Internationale Ermittler zerschlagen Lockbit: Ein Wendepunkt im Kampf gegen Cyberkriminalität?

Die Herrschaft von Lockbit scheint nun ein jähes Ende gefunden zu haben. Denn Mitte Februar ging eine Nachricht um die Welt, nach der einem Team aus internationalen Ermittlern die Zerschlagung der Gruppe gelang. Die Operation unter dem Decknamen „Cronos“, die von der National Crime Agency (NCA) des Vereinigten Königreichs in Zusammenarbeit mit dem FBI und Europol durchgeführt wurde, markiert einen bedeutenden Meilenstein im Kampf gegen die Cyberkriminalität. Über 16 internationale Ermittlungsbehörden aus Ländern wie Deutschland, Frankreich, Japan, der Schweiz, Kanada, Australien und anderen waren an der Operation beteiligt.

In Polen und der Ukraine nahmen Ermittler zwei Lockbit-Mitglieder fest. Mehr als 200 mit der Gruppe verbundene Kryptowährungs¬konten seien eingefroren worden. Nach Angaben des US-Justizministeriums sind zwei Menschen, die für die Nutzung von Lockbit zur Durchführung von Ransomware-Angriffen verantwortlich seien sollen, in den USA angeklagt und in Haft. Zudem machten die USA weitere Anklagen gegen zwei russische Staatsbürger wegen Verschwörung zu Lockbit-Angriffen öffentlich.

Auf der Lockbit-Website prangte zudem diese Nachricht: „Diese Website steht jetzt unter der Kontrolle der National Crime Agency des Vereinigten Königreichs, die eng mit dem FBI und der internationalen Strafverfolgungs-Task-Force ‚Operation Cronos‘ zusammenarbeitet.“ Möglicherweise haben die Strafverfolgungsbehörden ausgerechnet eine nicht gepatchte Schwachstelle in der Skriptsprache PHP ausgenutzt – normalerweise sind ungepatchten IT-Sicherheitslücken ja das Geschäftsmodell von Lockbit.

Es scheint, als hätten die Behörden einen entscheidenden Schlag gegen diese berüchtigte Hackergruppe gelandet! Doch wie endgültig ist dieser Schlag wirklich? In der Welt der Cyberkriminalität ist nichts sicher, und oft verschieben sich Gruppen oder tauchen unter neuen Namen und Taktiken wieder auf.

Hackergruppe Lockbit meldet sich zurück: Ein permanentes Comeback?

Und tatsächlich: Gerade als die Welt dachte, den Behörden ist ein erfolgreicher Schlag gegen die gefürchtete Ransomware-Gruppe Lockbit gelungen, taucht sie auch schon wieder auf. Schneller, stärker und provokanter als wir es vermutet hätten. Denn nicht einmal eine Woche, nachdem internationale Ermittler einen bedeutenden Schlag gegen diese Hackergruppe verkündeten, scheint die Lockbit-Gruppe bereits ein Comeback anzustreben – und vieles deutet darauf hin, dass es diesmal von Dauer sein könnte.

Die Gruppe meldet sich nämlich mit ihrer Website unter neuer Adresse und einer Mischung aus Selbstkritik und Arroganz zurück. Sie gestehen Fehler ein und machen sich sogar über das FBI lustig! In einer seltenen Offenbarung geben sie zu, dass ihre eigenen Systeme nicht auf dem neuesten Stand waren, weil sie „faul“ geworden seien und sich in einer gewissen Selbstzufriedenheit eingerichtet hätten: „Persönliche Fahrlässigkeit und Verantwortungslosigkeit“ habe es den Behörden erlaubt, die Website der Gruppe zu kapern. Weiter behauptet die Gruppe, dass ihre Server wiederhergestellt seien und sie bereit sind, erneut zuzuschlagen – eine Aussage, die aufhorchen lässt und vor einer möglichen Eskalation der Cyberangriffe warnt.

Entschiedene Antwort der Strafverfolgungsbehörden

Die Reaktion der Strafverfolgungsbehörden auf diese dreiste Ankündigung ist jedoch entschieden. Ein Sprecher der National Crime Agency (NCA) äußerte sich dazu: „Wir haben erkannt, dass LockBit wahrscheinlich versuchen würde, sich neu zu gruppieren und ihre Systeme neu aufzubauen. Wir haben jedoch eine große Menge an Informationen über sie und die mit ihnen verbundenen Personen gesammelt. Unsere Arbeit, sie zu stören, geht weiter.“

Offensichtlich sind die Behörden fest entschlossen, die Gruppe weiterhin zu bekämpfen. Gleichzeitig unterstreicht die Rückkehr von Lockbit aber auch die sich wandelnde Natur der Cyberkriminalität: Es ist ein ständiges Katz-und-Maus-Spiel zwischen den Hackern und denjenigen, die versuchen, sie aufzuhalten. Ob Lockbit langfristig erfolgreich sein wird oder ob ihre Tage gezählt sind, bleibt abzuwarten.

Fazit: Die Zerschlagung wäre ein großer Erfolg gewesen

Die Zerschlagung der gefürchteten Ransomware-Gruppe Lockbit wurde von internationalen Ermittlern als großer Erfolg gefeiert. Ein solcher Durchbruch hätte definitiv einen gewaltigen Sieg für die Cybersicherheit dargestellt! Die Freude kam zu früh: Das schnelle Comeback von Lockbit zeigt deutlich, dass es äußerst schwierig ist, eine so mächtige Organisation vollständig auszuschalten. Lockbit bleibt also weiterhin eine große Bedrohung für Unternehmen und Organisationen weltweit.

Es bleibt spannend zu beobachten, ob das Comeback von Lockbit von Dauer sein wird. Dennoch sollten wir auch das Positive erkennen. Denn wie der Technologiechef des britischen IT-Sicherheitsdienstleisters Sophos, Wisniewski, erklärt: „Alles, was ihre Operationen stört und Misstrauen unter ihren Partnern und Lieferanten sät, ist ein großer Gewinn für die Strafverfolgung.“

Trotz des Rückschlags zeigt zudem die Reaktion der Strafverfolgungsbehörden, dass der Kampf gegen die Cyberkriminalität weiterhin intensiv geführt wird. Die Zusammenarbeit zwischen verschiedenen Ländern und Organisationen ist entscheidend, um dieser Bedrohung effektiv entgegenzutreten. Letztendlich unterstreicht der Fall Lockbit die fortwährende und sich wandelnde Natur der Cyberkriminalität. Es ist ein ständiger Kampf, der Wachsamkeit und ständige Anpassung erfordert. Unternehmen und Organisationen müssen ihre Sicherheitsmaßnahmen verstärken und sich darauf vorbereiten, gegen solche Bedrohungen zu kämpfen – heute und in Zukunft.