Inside Lockbit: Die bedrohlichste Ransomware-Bande wurde infiltriert

19. Januar 2023, 15:55
  • security
  • ransomware
  • lockbit
  • cybercrime
image
Foto: Miram Oh / Unsplash

Ein Narzisst, der aus armen Verhältnissen stammt, leitet den Ransomware-Konzern. Dies berichtet ein Security-Experte und liefert Geheimnisse aus internen Chats.

Nicht nur die Ransomware-Bande Conti, sondern auch Blackbasta soll mit der russischen Regierung zusammenarbeiten und diese unterstützen. Das sagt nicht etwa der US-Geheimdienst, sondern eine andere russische Bande: Lockbit. Diese wurde von einem Security-Experten infiltriert, der ihr allerhand Geheimnisse entlocken konnte: Sie soll den US-Satelliten-Dienst Starlink für den Zugriff auf ihre Backend-Infrastruktur nutzen und ihr Geld vor allem auf chinesischen Bitcoin-Börsen waschen – möglichst weit weg von US-Einfluss.
Lockbit gilt als die gefährlichste Ransomware-Bande weltweit. Zuletzt hatte sie einen Teil der britischen Post lahmgelegt. Und auch in der Schweiz treibt die Bande ihr Unwesen: Letztes Jahr wurden ein Diakonissenhaus, ein Alterszentrum und ein Immobilienverwalter Opfer. Zu reden gab aber vor allem, dass die Bande vermehrt Gesundheitseinrichtungen ins Visier nimmt. Mehrfach veröffentlichte sie 2022 sensible Gesundheitsdaten, die sie in der Schweiz erbeutet hatte.

Im internen Chat trotz Untauglichkeit

Nun hat es die Bande selbst erwischt. Der IT-Sicherheitsforscher Jon DiMaggio hat sie infiltriert und einen Bericht dazu verfasst. Der US-Amerikaner bewarb sich dafür auf eine Stellenausschreibung der professionell aufgestellten Bande im Darkweb. Für einen Einstufungstest und ein virtuelles Vorstellungsgespräch wurde der langjährige Cybercrime-Jäger in einen TOX-Kanal geholt, einen verschlüsselten Messengerdienst, den die Kriminellen nutzen.
Und: Er konnte dort bleiben, obwohl er den Test nicht bestanden hatte. Nun konnte DiMaggio die Kriminellen bei der Arbeit beobachten und sogar in einen privaten Kanal der Gruppe vordringen, wie das Online-Magazin 'Watson' berichtete. Er schrieb ein umfangreiches "Gute-Zeiten-Schlechte-Zeiten" über die Szene der Ransomware Gangs und insbesondere über Lockbit.
Ein grosses Problem war in den kriminellen Strukturen, die keine Gerichte kennen, dass die Beute gerecht aufgeteilt werden musste. Laut DiMaggio wurde über dieses Problem viel diskutiert. Der Chef der Lockbit-Bande reagierte darauf, indem er den Partnern mehr Eigenverantwortung bei der Durchführung einräumte. Diese verhandeln mittlerweile im Chat-System von Lockbit eigenständig und kassieren das Lösegeld. Erst danach wird Lockbit bezahlt.
image
Inserat zur Anwerbung von Partnern auf der Website von Lockbit.
Um diese zu gewährleisten, gestaltete Lockbit seine Software-Systeme userfreundlicher. Heute lassen sich Ransomware-Angriffe mit dem Angriffsportal von Lockbit mit wenig technischen Kenntnissen durchführen. Die Folge: Lockbit wurde von Interessierten überrannt.
Lockbit interagiert laut DiMaggio mit anderen Banden wie Revil, Hive oder Blackbasta. Dabei komme es immer wieder zu Reibungen, die darauf hindeuten würden, dass sich die Personen kennen. Überhaupt sei die Community der Kriminellen im Ransomware-Umfeld kleiner als gemeinhin angenommen, so DiMaggio. Lockbit soll mehrere Kampagnen gefahren haben, um die Konkurrenz zu diffamieren.

Lockbit wird Opfer einer DDoS-Attacke

Tatsächlich ist die Bande auch hoch potent: So soll sie, was unter Cyberkriminellen selten ist, auch echte Zeroday-Lücken für ihre Angriffe ausnutzen und hochkarätige Ziele getroffen haben. So etwa die IT-Security-Firma Entrust im letzten Sommer. Diese fuhr eine DDoS-Attacke gegen die Infrastruktur von Lockbit, um deren Datenleak-Website und den Chat für Verhandlungen für mehrere Tage vom Netz zu nehmen. "Gut gemacht, Entrust", schreibt DiMaggio dazu. Lockbit baute danach seine Infrastruktur aus und drohte Opfern selbst mit DDoS-Angriffen.
Die Bande ist heute noch hoch aktiv. DiMaggio liefert einige Anhaltspunkte für Strafverfolgung, darunter Beschreibungen des Chefs der Bande: Ein weisser Ex-Militär in seinen mittleren Dreissigern aus Osteuropa, der aus ärmlichen Verhältnissen stammt. Er sei verheiratet und habe Kinder, zudem sei er bereits wegen Verbrechen angeklagt worden. Der Mann, der als "LockBitSupp" auftritt, soll gut in der russischen Cybercrime-Mafia vernetzt sein. Zudem soll er hochgradig narzisstisch sein, was DiMaggio schliesslich auch den Zugang zum internen Chat erlaubte, nachdem er ihm Honig um den Bart geschmiert hatte.
Der Bericht von Jon DiMaggio findet sich auf der Website von "Analyst 1".

Loading

Mehr zum Thema

image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023