ClickCease Sperrung von Lockbit: Der Fall eines Ransomware-Kartells

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Sperrung von Lockbit: Der Fall eines Ransomware-Kartells

Joao Correia

Februar 28, 2024 - Technischer Evangelist

Zu dem Zeitpunkt, an dem ich diese Zeilen schreibe, wurde Anfang dieser Woche eine bahnbrechende Meldung im Bereich der Cybersicherheit bekannt, die ausnahmsweise einmal eine positive Wendung der Ereignisse darstellt. Ich spreche von der Operation Cronos, einer internationalen Strafverfolgungsoperation, die die Lockbit-Ransomware-Infrastruktur beschlagnahmte, zur Verhaftung von Personen führte, die mit der kriminellen Organisation in Verbindung stehen, und zur Veröffentlichung eines offiziellen Entschlüsselungstools für Lockbit-verschlüsselte Dateien führte.

 

 

Die Ransomware-Szene

 

 

Ransomware ist eine der heimtückischsten Arten von Malware, bei der ein böswilliger Akteur mit verschiedenen Methoden eine Software einsetzt, die speziell darauf zugeschnitten ist, die auf einem Zielsystem gespeicherten Dateien zu verschlüsseln und sie unbrauchbar zu machen, bis das Unternehmen oder die Person, die das Opfer ist, zustimmt, ein "Lösegeld" zu zahlen, um den Zugriff auf diese Dateien wiederherzustellen.

Denken Sie daran, dass die Zahlung des Lösegelds nicht zwangsläufig bedeutet, dass Sie tatsächlich wieder Zugriff auf diese Dateien erhalten - keine Ehre unter Dieben, wie man so schön sagt - und Sie als williges Opfer kennzeichnet, das reif für die nächste Erpressung ist.

Als ob das nicht schon genug wäre, wenden die Betreiber von Ransomware jetzt auch noch eine so genannte doppelte Erpressungstaktik an, bei der Sie zunächst zahlen, um wieder Zugriff auf Ihre eigenen Daten zu erhalten, und dann "eingeladen" werden, dafür zu zahlen, dass die Daten, die der bösartige Akteur vor der Verschlüsselung exfiltriert hat, nicht online veröffentlicht werden. Geistiges Eigentum, Geschäftsgeheimnisse, vertrauliche Vereinbarungen und personenbezogene Daten sind ein lohnendes Ziel für diese weniger skrupellosen Personen und Gruppen.

Die Taktik ist sogar so erfolgreich, dass Ransomware-Gruppen inzwischen große unternehmensähnliche Organisationen betreiben und ein ganzes Wirtschaftsmodell rund um Ransomware-as-a-Service entwickelt haben, bei dem sie ihre Infrastruktur und Software "Partnern" zur Verfügung stellen, die dann Zielorganisationen finden und angreifen und einen Anteil (Berichten zufolge etwa 30 %) an die Ransomware-Organisation abgeben, die dann das Geld für die Lösegeldzahlung wäscht. 

Bis zum letzten Jahr gab es drei große Akteure im Bereich Ransomware: AlphV/Blackcat, Conti und Lockbit. Die ersten beiden gerieten in der zweiten Hälfte des Jahres 2023 ins Visier der Strafverfolgungsbehörden und wurden, wenn nicht vollständig eliminiert, so doch in ihren Möglichkeiten, weiter zu operieren, stark eingeschränkt.

Lockbit wurde diese Woche getroffen.

 

Sperrung von Lockbit

 

 

Die Razzia gegen Lockbit, die als Operation Cronos bezeichnet wird, ist ein wichtiger Meilenstein im Kampf gegen Ransomware. Diese Operation, an der mehrere internationale Strafverfolgungsbehörden beteiligt sind, darunter die National Crime Agency (NCA) des Vereinigten Königreichs und das FBI, und die grenzüberschreitend von Europol und Eurojust koordiniert wird, zeigt die Stärke der internationalen Zusammenarbeit bei der Zerschlagung cyberkrimineller Unternehmen.

Jüngste Ankündigungen von Strafverfolgungsbehörden haben Licht auf die komplizierten Details der Lockbit-Operationen geworfen, von ihren Kryptowährungs- und Geldwäschepraktiken bis hin zu ihren fortschrittlichen Handelsmethoden und der Infrastruktur, die zur Unterstützung ihrer Tochtergesellschaften verwendet wird. Diese Enthüllungen bieten wertvolle Einblicke in die Arbeitsweise moderner Ransomware-Banden und machen deutlich, vor welchen Herausforderungen Cybersecurity-Experten heute stehen.

 

 

Ein koordinierter Schlag gegen die Cyberkriminalität

 

 

Die Verhaftungen in Polen und der Ukraine sowie die Beschlagnahmung von mehr als 200 Kryptowährungs-Geldbörsen zeigen, wie wirkungsvoll es ist, sich gegen Cyberkriminelle zu wehren. Durch das Eindringen in die Server der Lockbit-Bande konnten die Behörden einen großen Teil der Infrastruktur der Ransomware ausschalten, ihre Operationen lahmlegen und unzähligen potenziellen Opfern Erleichterung verschaffen.

Darüber hinaus war die Zusammenarbeit zwischen Strafverfolgungsbehörden und Cybersecurity-Firmen wie SecureWorks und TrendMicro bei der Analyse der Lockbit-Taktik und künftiger Versionen der Ransomware von großer Bedeutung. Diese Partnerschaft hat nicht nur die Zerschlagung der Ransomware erleichtert, sondern auch die Veröffentlichung eines Lockbit-Entschlüsselungstools sichergestellt, das den betroffenen Unternehmen einen Rettungsanker bietet.

Die Veröffentlichung des Entschlüsselungs-Tools unterstreicht einen Punkt, der bei einem Ransomware-Vorfall schon lange diskutiert wird: die verschlüsselten Daten so lange wie möglich aufzubewahren. Bei mehreren Vorgängen in der Vergangenheit wurden die zur Verschlüsselung der Daten verwendeten privaten Schlüssel aufgedeckt und wurden der Öffentlichkeit zugänglich gemacht. Wenn Sie in der Lage sind zu warten - d. h. die verschlüsselten Daten werden nicht sofort benötigt - ist diese Abwarte-Strategie sowohl billiger als auch potenziell sicherer, wenn Sie sich diesem Problem nähern.

 

 

Sanktionen und Hinweise zur Cybersicherheit: Ein doppelter Ansatz

 

 

Die Die Entscheidung der Vereinigten Staaten, Sanktionen gegen Tochtergesellschaften der russischen Lockbit-Gruppe zu verhängen zu verhängen, unterstreicht das Engagement der Regierung für einen regierungsweiten Ansatz gegen Cyber-Bedrohungen. Diese Sanktionen zielen in Verbindung mit detaillierten Cybersicherheitshinweisen darauf ab, Bürger und Institutionen vor Ransomware-Angriffen zu schützen und diejenigen zur Verantwortung zu ziehen, die diese bösartigen Aktivitäten ermöglichen.

 

 

Lockbit: Eine Fallstudie zur Entwicklung von Ransomware

 

 

Lockbit, das für sein Ransomware-as-a-Service-Modell und seine doppelte Erpressungstaktik bekannt ist, repräsentiert die sich entwickelnde Bedrohungslandschaft der Cyberkriminalität. Die Fähigkeit der Gruppe, riesige Datenmengen zu exfiltrieren und zu verschlüsseln, bevor sie Lösegeldzahlungen fordert, hat sie zu einer der weltweit verbreitetsten Ransomware-Varianten gemacht. Berichten zufolge hat die Gruppe allein im vergangenen Jahr über 100 Millionen US-Dollar an Lösegeldzahlungen erhalten.

Die Beschlagnahmung der Lockbit-Infrastruktur, einschließlich der Server, auf denen gestohlene Daten gehostet wurden, und der Dark-Web-Leak-Sites, ist ein wichtiger Sieg für die Strafverfolgungsbehörden. Sie zeigt aber auch, wie hartnäckig und anpassungsfähig die Cyberkriminellen sind.

 

 

Die Ironie des Takedowns

 

 

Wie genau wurde Lockbit also gestoppt? Es stellte sich heraus, dass einer der Webserver, die mit dem Zwiebelnetzwerk verbunden waren, nicht für eine bekannte Sicherheitslücke gepatcht war. Dieselbe Taktik, die angewandt wurde, um sich illegal Zugang zu den Systemen der Opfer zu verschaffen, wurde auch angewandt, um sich Zugang zu verschaffen und den Server zu identifizieren, von dem aus Lockbit den "Kunden"-Support für die Ransomware-Opfer bereitstellte (d. h., wo sie um den Lösegeldbetrag feilschten und die Opfer bedrohten, damit sie das Lösegeld bezahlten).

Die Website lief auf der Basis von PHP 8, und die spezielle Version war anfällig für CVE-2023-3824. Ich schätze, jeder macht sich irgendwann einmal des verspäteten Patchens schuldig.

 

 

Vorwärts gehen: Gelernte Lektionen und der Weg in die Zukunft

 

 

Die erfolgreiche Bekämpfung von Lockbit durch die Operation Cronos ist ein Beweis für die Bedeutung der internationalen Zusammenarbeit und für die Notwendigkeit eines vielschichtigen Ansatzes für die Cybersicherheit. Während wir diesen Sieg feiern, müssen wir uns auch auf die unvermeidliche Weiterentwicklung der Ransomware-Taktiken und das Auftauchen neuer Bedrohungen vorbereiten.

Der wirtschaftliche Antrieb, der hinter Ransomware steht, sorgt dafür, dass der nun frei gewordene Raum zweifellos schnell von neuen Akteuren und Gruppen umkämpft werden wird. Die Tatsache, dass einige der Lockbit-Mitglieder in Ländern außerhalb der Reichweite internationaler Strafverfolgungsbehörden leben und praktisch immun gegen die Auswirkungen von Sanktionen sind, macht es nicht abwegig, sich vorzustellen, dass eine neue Variante oder eine umbenannte Lockbit-Organisation wieder auftaucht.

Cybersicherheitsexperten, Unternehmen und Einzelpersonen müssen gleichermaßen wachsam bleiben, proaktive Abwehrmaßnahmen ergreifen und die Zusammenarbeit fördern, um der allgegenwärtigen Bedrohung durch Ransomware zu begegnen. Der Kampf gegen die Cyberkriminalität ist noch lange nicht vorbei, aber Operationen wie Cronos geben Hoffnung und sind ein Vorbild für künftige Erfolge in diesem ständigen Kampf. 

Das (sehr) Positive an dieser Geschichte ist, dass sie einmal mehr zeigt, wie zerbrechlich diese kriminellen Organisationen wirklich sind, selbst wenn sie sich hinter der Fassade des Superhacker-Stereotyps verstecken, als das sie gemeinhin dargestellt werden.

 

Zusammenfassung
Sperrung von Lockbit: Der Fall eines Ransomware-Kartells
Artikel Name
Sperrung von Lockbit: Der Fall eines Ransomware-Kartells
Beschreibung
Gerade wurde eine bahnbrechende Meldung im Bereich der Cybersicherheit bekannt, die ausnahmsweise einmal eine positive Wendung der Ereignisse darstellt. Reden wir über die Lockbit-Ransomware
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter