Die unerbittliche Bedrohung durch die Ransomware-Gruppe LockBit In den letzten Jahren sind hochkarätige Ransomware-Angriffe zu einer Tatsache des Lebens geworden, und es ist nicht ungewöhnlich, von größeren monatlichen Angriffen zu hören, die von in Russland ansässigen Banden und deren Verbündeten begangen werden. Seit Ende 2019 hat sich jedoch eine Gruppe kontinuierlich einen Namen gemacht, indem sie über mehrere Jahre hinweg hunderte von Organisationen auf der ganzen Welt beeinträchtigt hat. Die LockBit-Ransomware-Bande mag nicht die am überbordendsten agierende dieser kriminellen Gruppen sein, aber ihre kalte Beharrlichkeit, ihre Effektivität und ihre Professionalität machen sie auf ihre eigene Weise sinister. Eine der produktivsten Ransomware-Gruppen überhaupt, hat sich die LockBit-Gruppierung bemüht, trotz ihrer Vielzahl von Angriffen ein niedriges Profil zu wahren. Doch mit ihrem Wachstum wurde die Gruppe aggressiver und vielleicht sogar nachlässiger.
Anfang dieses Monats wurde die LockBit-Malware auffällig bei einem Angriff auf die Royal Mail in Großbritannien eingesetzt, der den Betrieb lahmlegte. Nach anderen jüngsten sichtbaren Angriffen, wie dem auf ein kanadisches Kinderkrankenhaus, richten sich nun alle Augen auf LockBit. „Sie sind die berüchtigtste Ransomware-Gruppe aufgrund der schieren Menge. Und der Grund für ihren Erfolg ist, dass der Anführer ein guter Geschäftsmann ist“, sagt Jon DiMaggio, Chief Security Strategist bei Analyst1, der LockBits Operationen umfassend untersucht hat. „Es ist nicht so, dass er diese großartige Führungsqualität hat.
Sie haben eine Ransomware entwickelt, die jeder nutzen kann, sie aktualisieren ihre Software, suchen ständig nach Benutzerfeedback, sie kümmern sich um ihre Benutzererfahrung, sie werben Leute von konkurrierenden Banden ab. Er führt es wie ein Geschäft, und deshalb ist es für Kriminelle sehr, sehr attraktiv.“ Für die Royal Mail war LockBit ein Chaosverursacher. Am 11. Januar kam der internationale Versanddienst des britischen Postdienstes aufgrund eines Cyberangriffs zum Erliegen.
Mehr als eine Woche lang forderte das Unternehmen seine Kunden auf, keine neuen internationalen Sendungen zu verschicken und sorgte so für weitere Unordnung, nachdem die Mitarbeiter bereits wegen Lohn- und Arbeitsbedingungen in den Streik getreten waren. Der Angriff wurde später mit LockBit in Verbindung gebracht. Kurz vor Weihnachten griff ein Mitglied von LockBit das SickKids-Krankenhaus in Kanada an, beeinträchtigte seine internen Systeme und Telefonleitungen und verursachte Verzögerungen bei medizinischen Bildern und Labortests. Die Gruppe trat schnell nach dem Angriff zurück, stellte einen kostenlosen Entschlüsseler bereit und sagte, sie habe das verantwortliche Mitglied blockiert. Im Oktober forderte LockBit auch eine ungewöhnlich hohe Zahlung von 60 Millionen US-Dollar von einer britischen Autohandelskette.
Um seine Berüchtigung zu steigern, ist LockBit auch eine der produktivsten und aggressivsten Ransomware-Gruppen, wenn es darum geht, Fertigungs- und Industriesteuerungssysteme anzugreifen. Die Sicherheitsfirma Dragos schätzte im Oktober, dass die LockBit-Malware im zweiten und dritten Quartal 2022 bei 33 Prozent der Ransomware-Angriffe auf industrielle Organisationen und bei 35 Prozent der Angriffe auf Infrastruktur eingesetzt wurde. Im November berichtete das US-Justizministerium, dass die LockBit-Ransomware gegen mindestens 1.000 Opfer weltweit eingesetzt wurde, darunter auch in den USA. „Die LockBit-Mitglieder haben mindestens 100 Millionen US-Dollar an Lösegeld gefordert und von ihren Opfern Zig Millionen US-Dollar an tatsächlichen Lösegeldzahlungen erhalten“, schrieb das Justizministerium.
Das FBI begann erstmals Anfang 2020 mit der Untersuchung der Gruppe. Im Februar 2022 veröffentlichte die Behörde eine Warnung, dass LockBit „eine breite Palette von Taktiken, Techniken und Verfahren (TTPs) einsetzt und damit erhebliche Herausforderungen für die Verteidigung schafft“. LockBit tauchte Ende 2019 erstmals auf, nannte sich zunächst „ABCD-Ransomware“. Seither ist die Gruppe rapide gewachsen. Die Gruppe ist eine „Ransomware-as-a-Service“-Operation, was bedeutet, dass ein Kernteam ihre Malware erstellt und ihre Website betreibt und den Code an „Affiliates“ lizenziert, die Angriffe starten.
Normalerweise teilen Ransomware-as-a-Service-Gruppen erfolgreiche Beute mit ihren Affiliates. Im Fall von LockBit sagt Jérôme Segura, Senior Director of Threat Intelligence bei Malwarebytes, dass das Affiliate-Modell umgekehrt ist. Affiliates erhalten Zahlungen von ihren Opfern direkt und zahlen dann eine Gebühr an das Kern-LockBit-Team. Das Modell scheint gut ausgearbeitet und ist für LockBit zuverlässig. „Das Affiliate-Modell war wirklich gut ausgearbeitet“, sagt Segura.
Obwohl Forscher in den letzten zehn Jahren immer wieder beobachtet haben, dass Kriminelle aller Art ihre Betriebsabläufe professionalisieren und rationalisieren, nehmen viele prominente und produktive Ransomware-Gruppen auffällige und unberechenbare öffentliche Persönlichkeiten an, um bekannt zu werden und Opfer einzuschüchtern. Im Gegensatz dazu ist LockBit dafür bekannt, relativ konsistent, fokussiert und organisiert zu sein. „Von allen Gruppen denke ich, dass sie wahrscheinlich die geschäftsmäßigste sind, und das ist einer der Gründe für ihre Langlebigkeit“, sagt Brett Callow, Bedrohungsanalyst beim Antivirenunternehmen Emsisoft. „Aber die Tatsache, dass sie viele Opfer auf ihrer Website veröffentlichen, bedeutet nicht unbedingt, dass sie als die produktivste Ransomware-Gruppe aller Zeiten angesehen werden, wie es einige behaupten würden. Aber sie sind wahrscheinlich zufrieden damit, so bezeichnet zu werden, das ist gut für die Rekrutierung neuer Affiliates.
“ Die Gruppe ist jedoch nicht nur Hype. LockBit scheint in technische und logistische Innovationen zu investieren, um die Gewinne zu maximieren. Peter Mackenzie, Director of Incident Response bei der Sicherheitsfirma Sophos, sagt, dass die Gruppe beispielsweise mit neuen Methoden experimentiert hat, um ihre Opfer zur Zahlung von Lösegeldern zu drängen. Seit dem Debüt von LockBit haben die Schöpfer erhebliche Zeit und Mühe in die Entwicklung ihrer Malware investiert. Die Gruppe hat zwei große Updates des Codes herausgegeben – LockBit 2.
0, veröffentlicht Mitte 2021, und LockBit 3.0, veröffentlicht im Juni 2022. Die beiden Versionen sind auch als LockBit Red und LockBit Black bekannt. Forscher sagen, dass sich die technische Entwicklung der Veränderung der Arbeitsweise von LockBit mit Affiliates parallelisiert hat. Vor der Veröffentlichung von LockBit Black arbeitete die Gruppe mit einem exklusiven Kreis von höchstens 25 bis 50 Affiliates.
Seit der Veröffentlichung von 3.0 hat sich die Gruppe jedoch stark geöffnet, was es schwieriger macht, die Anzahl der beteiligten Affiliates im Blick zu behalten und auch schwieriger macht, die Kontrolle über die Gruppe zu behalten. LockBit erweitert seine Malware häufig um neue Funktionen, aber vor allem zeichnet sich die Malware dadurch aus, dass sie einfach und benutzerfreundlich ist. Im Kern bietet die Ransomware Anti-Erkennungsfunktionen, Werkzeuge zum Umgehen von Microsoft Windows-Verteidigungen und Funktionen für den Rechteausbau auf einem kompromittierten Gerät. LockBit verwendet öffentlich verfügbare Hacking-Tools, aber entwickelt auch eigene Fähigkeiten.
Der FBI-Bericht von 2022 besagt, dass die Gruppe manchmal bisher unbekannte oder Zero-Day-Schwachstellen bei ihren Angriffen nutzt. Und die Gruppe hat die Fähigkeit, viele verschiedene Arten von Systemen anzugreifen. „Sie greifen nicht nur Windows an. Sie werden Linux angreifen, sie werden Ihre virtuellen Hostmaschinen angreifen“, sagt Mackenzie. „Sie bieten ein solides Zahlungssystem an.
Es gibt eine Menge Back-End-Infrastruktur, die damit verbunden ist. Es ist einfach ein gut gemachtes Produkt, leider.“ Im Oktober wurde berichtet, dass LockBits Malware eingesetzt wurde, nachdem eine Zero-Day-Schwachstelle verwendet wurde, um Microsoft Exchange-Server zu hacken – ein relativ seltener Vorfall bei Ransomware-Banden. „Es gibt zusätzliche Funktionen, die die Ransomware gefährlicher machen – zum Beispiel Wurmkomponenten“, fügt Segura hinzu. „Sie haben auch darüber gesprochen, Denial-of-Service-Angriffe gegen Opfer zu verüben, zusätzlich zur Erpressung.
“ Mit der Veröffentlichung von LockBit 3.0 signalisierte die Gruppe auch ihre Absicht, sich weiterzuentwickeln. Sie führten das erste Ransomware-Bug-Bounty-Programm ein und versprachen legitimen Sicherheitsforschern oder Kriminellen eine Zahlung, wenn sie Schwachstellen in ihrer Website oder Verschlüsselungssoftware benennen konnten. LockBit sagte, sie würden jedem 1 Million Dollar bezahlen, der denjenigen benennen könnte, der hinter LockBitSupp steht, der öffentlichen Person der Gruppe. Die Kernmitglieder an der Spitze von LockBit scheinen ihren Anführer und ein oder zwei weitere vertrauenswürdige Partner zu umfassen.
Jon DiMaggio von Analyst1, der die Akteure seit Jahren verfolgt, merkt an, dass die Gruppe behauptet, in den Niederlanden ansässig zu sein. Ihr Anführer hat zu verschiedenen Zeiten gesagt, dass er persönlich aus China oder sogar den Vereinigten Staaten operiert, wo er behauptet, Teilhaber von zwei Restaurants in New York City zu sein. Alle LockBit-Mitglieder scheinen jedoch russischsprachig zu sein, und DiMaggio sagt, dass er zwar nicht sicher sein kann, glaubt er, dass die Gruppe in Russland ansässig ist. „Der Anführer scheint sich keine Sorgen zu machen, verhaftet zu werden. Er hält sich selbst für einen Superschurken und spielt die Rolle gut“, sagt DiMaggio.
„Aber ich glaube, er hat ein gesundes Misstrauen, dass, wenn die russische Regierung sich in ihn verhäkeln würde, er die Entscheidung treffen müsste, den Großteil seines Geldes an sie abzugeben oder für sie zu arbeiten, wie sie ihnen zum Beispiel im Ukraine-Krieg helfen.“ Trotz der relativen Professionalität von LockBit ist die Gruppe zuweilen in Prahlsucht und bizarrer Verhalten geraten. In ihren verzweifelten Bemühungen, Aufmerksamkeit zu erregen und Affiliates anzulocken, veranstaltete die kriminelle Gruppe in ihren frühen Monaten einen Essay-Wettbewerb und zahlte Preise an die Gewinner aus. Im September 2022 setzte die Gruppe auf einem Cybercrime-Forum eine Nachricht ab, in der sie behauptete, jedem 1.000 Dollar zu zahlen, der das LockBit-Logo tätowierte.
Etwa 20 Personen teilten Fotos und Videos, auf denen ihre Füße, Handgelenke, Arme und Brüste alle mit dem Logo der Cybercrime-Bande gebrandmarkt waren. Der kometenhafte Aufstieg von LockBit und die jüngsten Angriffe gegen prominente Ziele könnten letztendlich zu ihrem Untergang führen. Berüchtigte Ransomware-Gruppen wurden in den letzten Jahren infiltriert, entlarvt und gestört. Vor der vollständigen russischen Invasion der Ukraine im Februar 2022 verhaftete der Föderale Sicherheitsdienst Russlands (FSB) hochrangige REvil-Hacker, obwohl die Gruppe seitdem zurückgekehrt ist. In der Zwischenzeit hat die US-Militäreinheit Cyber Command zugegeben, einige Ransomware-Gruppen gestört zu haben.
Ein ukrainischer Cybersicherheitsforscher trug im letzten Jahr erheblich zum Niedergang der Ransomware-Marke Conti bei, nachdem er in die Gruppe eingedrungen war und mehr als 60.000 interne Chatnachrichten der Gruppe veröffentlicht hatte. Diese abschreckenden Maßnahmen scheinen sich auf das gesamte Ransomware-Ökosystem auszuwirken. Während es schwierig ist, echte Zahlen darüber zu ermitteln, wie viel Geld Ransomware-Akteure einnehmen, haben Forscher, die kriminelle Gruppen verfolgen, und solche, die sich auf die Verfolgung von Kryptowährungen spezialisiert haben, bemerkt, dass Ransomware-Banden anscheinend weniger Geld einnehmen, da staatliche Durchsetzungsmaßnahmen ihre Betriebsabläufe behindern und mehr Opfer sich weigern, zu zahlen. Die Schrauben werden bereits an LockBit gedreht.
Ein offenbar verärgerter LockBit-Entwickler leakte im September seinen 3.0-Code, und die japanische Strafverfolgung behauptet, die Ransomware dekodieren zu können. Auch US-Strafverfolgungsbehörden beobachten die Gruppe genau, und ihre jüngsten Angriffe haben ihr Profil nur noch erhöht. Im November 2022 enthüllte das FBI, dass ein mutmaßlicher LockBit-Affiliate, Mikhail Vasiliev, 33, in Kanada festgenommen wurde und in die USA ausgeliefert wird. Zur gleichen Zeit sagte stellvertretende Justizministerin Lisa O.
Monaco, dass die Beamten LockBit seit mehr als zweieinhalb Jahren untersuchen. „Ich denke, LockBit wird in diesem Jahr eine schwierige Zeit haben und möglicherweise sehen, dass ihre Zahlen zurückgehen“, sagt DiMaggio von Analyst1. „Sie stehen jetzt stark im Fokus der Aufmerksamkeit, und sie könnten auch ihren Hauptentwickler verloren haben, sodass sie Entwicklungsprobleme haben könnten, die sie einholen. Es wird interessant sein zu sehen. Diese Jungs kümmern sich um niemanden oder nichts.
“ LockBit scheint so gefährlich und produktiv gewesen zu sein, weil sie Standards für die Arten von Zielen aufrechterhalten haben, die ihre Affiliates angreifen können, und es vermieden haben, zu viel Aufmerksamkeit auf sich zu ziehen, während sie ein weites Netz spannten. Aber die Zeiten haben sich geändert, und der Versand von internationalen Postsendungen des Vereinigten Königreichs für mehr als eine Woche stillzulegen, ist nicht gerade ein niedriges Profil halten. „Sie haben ein bisschen ein PR-Problem, wenn es um ihre Affiliates geht, weil sie offensichtlich nicht in der Lage zu sein scheinen, sie sehr gut zu handhaben“, sagt Segura von Malwarebytes. „Das Angeben, das Treffen einiger ziemlich kritischer Infrastrukturen und hochkarätiger Ziele ist ein sehr gefährliches Spiel, das sie spielen. LockBit hat derzeit ein großes Ziel auf dem Rücken.
“.
