Die LockBit-Ransomware-Bande taucht mit neuer Leckstelle wieder auf – ein Kampf um Wiedergutmachung nach einer gescheiterten Takedown-Operation. Nachdem LockBit am 19. Februar in Nordamerika, Europa und Asien schwer von Behörden in die Zange genommen wurde und 34 Server beschlagnahmten, die Gruppen-Tor-basierten Leak-Stellen übernahmen, Kryptowährungs-Konten fror und technische Informationen über Ransomware-as-a-Service (RaaS) sammelten, lancierten die LockBit-Ransomware-Betreiber über das Wochenende eine neue Leckstelle und behaupteten, dass sie ihre Infrastruktur nach dem behördlichem Eingriff wiederhergestellt hätten – sie luden sogar Partner ein, sich der Operation erneut anzuschließen. Zuvor erlangten die Behörden 1.000 Entschlüsselungsschlüssel, die betroffenen Organisationen helfen werden, ihre Daten wiederherzustellen, ohne ein Lösegeld zahlen zu müssen.
Zudem wurden zwei Verdächtige festgenommen. Die US-Regierung setzte außerdem eine Belohnung von 10 Millionen US-Dollar für Informationen über LockBit-Anführer und 5 Millionen US-Dollar für Informationen über Partner aus, gegen zwei russische Staatsangehörige wurden Anklagen und Sanktionen verhängt. Eine Person, die am RaaS beteiligt ist und den Namen "LockBitSupp" trägt, startete die neue Leckstelle, auf der Hunderte von betroffenen Unternehmen aufgelistet sind. In einer ausführlichen Nachricht äußerte LockBitSupp seine Ansichten zur Takedown-Operation. Er erwähnte, dass ein PHP-Fehler zur Beschlagnahme verwundbarer Websites führte, aber nicht solcher, die diese Skriptiersprache nicht verwenden.
Tatsächlich verlinken einige der Gruppen bekannten Spiegel-Websites jetzt auf das neue Portal. LockBitSupp berichtete auch, dass Behörden 20.000 Entschlüsselungstools erhalten haben, darunter 1.000 ungeschützte Build-Versionen der Ransomware (von insgesamt 40.000, die während der fünfjährigen Nutzungsdauer von LockBit ausgestellt wurden) und dass die Takedown-Operation eine Reaktion auf den Hack des Landkreises Fulton in Georgia im Januar war.
Der LockBit-Betreiber erklärte auch, dass der Vorfall ihn dazu motiviert hat, den Schutz zu verbessern, darunter die noch stärkere Dezentralisierung der Operation und die manuelle Freigabe jedes Entschlüsselungstools. Die ausführliche Nachricht scheint ein Versuch zu sein, die Glaubwürdigkeit wiederherzustellen, die das RaaS dringend benötigt, nicht nur aufgrund des erheblichen Einflusses des behördlichen Eingriffs, sondern auch aufgrund des monatelangen Rückgangs des "LockBit"-Rufs. Trend Micro zufolge hat LockBit in den letzten Jahren Schwierigkeiten, Partner anzuziehen und zu halten, und technische Probleme mit seinen Leckstellen gezeigt. Die Veröffentlichung einer neuen Ransomware-Variante wurde verzögert. "Der öffentliche Aufruf an ALPHV (BlackCat) und NoEscape-Partner, der LockBit-Gruppe beizutreten, hat einen Hauch von Verzweiflung.
In der Vergangenheit drängten Bedrohungsakteure, sich der Gruppe anzuschließen. In jüngerer Zeit scheint es jedoch, als würden die LockBit-Betreiber verzweifelt nach neuen Partner suchen und nach Möglichkeiten suchen, von den Missgeschicken rivalisierender Gruppen zu profitieren", sagt Trend Micro. Laut Prodaft hatte LockBit etwa 190 Partner, einige davon mit anderen bekannten Cybercrime-Gruppen verbunden, darunter EvilCorp, FIN7 und Wizard Spider. Die Cybersecurity-Firma betont, dass LockBitSupp auf mehreren Untergrund-Hacking-Plattformen an Glaubwürdigkeit verloren hat, nachdem verärgerte Partner sich über ausstehende Zahlungen beschwert hatten, und dass er von mindestens zwei dieser Portale ausgeschlossen wurde. Dennoch scheint der RaaS-Anführer eine neue Version der Malware vorzubereiten.
LockBit-NG-Dev, noch in Entwicklung, soll platformunabhängig sein, in .NET geschrieben und sich nicht selbst verbreiten. Sie verfügt über weniger Funktionalitäten im Vergleich zu vorherigen Iterationen, jedoch genug Potenzial, um sich zur LockBit 4.0 weiterzuentwickeln. "Angesichts der verzögerten Markteinführung einer robusten Version von LockBit sowie fortwährender technischer Probleme bleibt abzuwarten, wie lange diese Gruppe in der Lage sein wird, erstklassige Partner anzuziehen und ihre Position zu halten", stellt Trend Micro fest.
Das Threat-Intelligence-Unternehmen RedSense behauptet, dass die eigentlichen Masterminds hinter dem RaaS eine 'Geistergruppe' namens Zeon seien, die aus ehemaligen Conti-Operateuren besteht und auch in Akira-, 3AM- und BlackCat-Ransomware-Operationen investiert hat. Die Takedown-Operation von LockBit und der damit verbundene soziale Infrastruktur sei ein schwerer Schlag für Zeon gewesen, das sich wahrscheinlich auf Akira konzentrieren wird, da LockBit sich nicht erholen wird. "Der Wiederaufbau verläuft sehr unwahrscheinlich; die LockBit-Führung ist technisch sehr unfähig. Die Personen, denen sie die Entwicklung ihrer Infrastruktur anvertraut haben, haben LockBit längst verlassen, wie an der Primitivität ihrer Infrastruktur zu sehen ist", so RedSense. Trotz der Herausforderungen scheint LockBit dennoch entschlossen zu sein, sich neu zu erfinden und weiterhin in der gefährlichen Welt des Cybercrime zu bestehen.
Die Zukunft bleibt ungewiss, aber eins ist sicher: Die jüngsten Entwicklungen um LockBit lassen aufhorchen und zeigen, dass der Kampf gegen Cyberkriminalität noch lange nicht vorbei ist.
