Lockbit ist zurück

26. Februar 2024 um 13:51
image
Foto: Unsplash+

Keine Woche war die Ransomware-Bande offline. Jetzt will sie sich an den an der Aktion beteiligten Regierungen rächen und hat neue Opfer bekannt gegeben.

Weniger als eine Woche hat es nach der Ankündigung der Zerschlagung der Ransomware-Bande Lockbit gedauert, bis sich die Gruppe von der Aktion der Strafverfolgungsbehörden erholt hat. Schon unmittelbar nach der Bekanntgabe der Aktion haben Security-Experten befürchtet, dass es zu einem Comeback der Cyberkriminellen kommen könnte.
Am 19. Februar legte ein Team von internationalen Ermittlerinnen und Ermittlern 34 Server der Ransomware-Bande still, auf denen die Datenleck-Website von Lockbit und ihre Spiegelserver, gestohlene Daten, Kryptowährungskonten, Entschlüsselungscodes und das Partnerportal gehostet wurden. Zudem kam es in Polen und der Ukraine zu Verhaftungen.
Jetzt hat die Gruppe ihre kriminellen Tätigkeiten auf einer neuen Infrastruktur wieder aufgenommen. Im Darknet veröffentlichte Lockbit ein längeres Statement, in dem der vermeintliche Kopf der Bande schreibt, dass "persönliche Fahrlässigkeit und Verantwortungslosigkeit" zur Unterbrechung des Geschäfts geführt hätten. Zudem droht er damit, verstärkt Angriffe gegen beteiligte Regierungen zu führen.

Veraltete PHP-Server

Ihren Namen hat die Bande einfach beibehalten. Die Leak-Seite wurde lediglich auf eine neue URL verlegt. Dank weiterer Backups sei dies immer wieder möglich, heisst es von Lockbit. Gleichzeitig hat die Gruppe auch fünf neue Opfer publiziert, denen sie mit der Veröffentlichung der gestohlenen Daten droht. Zudem hat die Bande ein Datenpaket hochgeladen, das vom FBI erbeutet worden sein soll.
image
Screenshot: Lockbit
Kurz nach dem Angriff bestätigte Lockbit das Eindringen der Ermittler, relativierte dabei aber, dass nur Server mit Hypertext Preprocessor (PHP) betroffen seien. Alle Backups ohne PHP seien nicht betroffen. "Aufgrund meiner persönlichen Nachlässigkeit und Verantwortungslosigkeit habe ich mich entspannt und PHP nicht rechtzeitig aktualisiert", gibt der Chef offen zu. Über diese Lücke sollen die Strafverfolgungsbehörden dann in die Systeme von Lockbit eingedrungen sein.
Die PHP-Server sollen nun wieder auf der aktuellsten Version laufen. Zudem hat Lockbit ein Bug-Bounty-Programm für seine Systeme ausgerufen. Wer in der neuesten Version eine Sicherheitslücke findet, soll finanziell belohnt werden.

Viel Geld erbeutet

Gemäss einer Analyse von Hunderten von Kryptowährungswallets hat Lockbit in den letzten 18 Monaten mehr als 125 Millionen Dollar an Lösegeld eingenommen. Nach der Zerschlagung der Ransomware-Bande konnte die britische National Crime Agency (NCA) mehr als 500 aktive Krypto­währungs­adressen sicherstellen und untersuchen.
Gemäss 'Bleeping Computer' erhielten die Ermittlungsbehörden durch die "Operation Cronos" Zugriff auf 30'000 Bitcoin-Adressen, die die Gruppe zur Verwaltung ihrer Gewinne verwendet hatte. Mehr als 500 dieser Adressen waren auf der Blockchain aktiv und haben zwischen Juli 2022 und Februar 2024 über 125 Millionen Dollar in Bitcoin erhalten.

Kriegskasse gefüllt

Die Untersuchung zeigte, dass auf den verschiedenen Konten mehr als 2200 Bitcoins mit einem aktuellen Wert von über 110 Millionen Dollar gelagert wurden. In einer Pressemitteilung der NCA heisst es, dass diese Gelder eine Kombination aus Zahlungen von Opfern und Einnahmen durch Gebühren von Partnern waren, die für die Verwendung der Schadsoftware bezahlt wurden.
Dabei dürften die 125 Millionen Dollar nur die Spitze des Eisberges sein. Die Gesamtsumme des bezahlten Lösegelds dürfte weitaus höher liegen, erklärt die NCA. Die Strafverfolgungsbehörde sagt, dass die bei den Ermittlungen entdeckten Beträge darauf hindeuten, dass die tatsächlichen Lösegeldsummen in die Hunderte von Millionen gehen.
Dabei ist hervorzuheben, dass die genannten Zahlungen nur einen Zeitraum von eineinhalb Jahre abdecken. Lockbit besteht aber bereits seit Anfang 2020. "Die Tatsache, dass die Zahl der bestätigten Angriffe von Lockbit in den vier Jahren ihres Bestehens weit über 2000 liegt, lässt vermuten, dass sich ihre Auswirkungen weltweit auf mehrere Milliarden Dollar belaufen", heisst es von der National Crime Agency.

Hat "Lockbitsupp" die Bande verraten?

Neben der Analyse der Finanzen hat die Strafverfolgungsbehörde zusammen mit ihren Partnern auch Details zur Identität des vermeintlichen Anführers von Lockbit veröffentlicht. Die USA haben auf die unter dem Synonym "Lockbitsupp" bekannte Person oder Gruppe von Personen ein Kopfgeld von 10 Millionen Dollar ausgesetzt. Es gibt Hinweise, dass es sich dabei möglicherweise um zwei Personen handelt: den Anführer der Bande und ein weiteres Mitglied aus dem Kern der Gruppe.
Obwohl die NCA den richtigen Namen des bekannten Cyberkriminellen nicht nannte, widerlegte die Behörde frühere Behauptungen von "Lockbitsupp", dass er in den Niederlanden oder den Vereinigten Staaten leben und einen Lamborghini fahren würde. Laut der Ermittlungsbehörde fährt der Verdächtige einen Mercedes und hat derzeit Mühe, Ersatzteile für sein Auto zu beschaffen.
Sollte sich die Geschichte mit den Ersatzteilen bewahrheiten, könnte dies laut 'Computerweekly' ein Indiz dafür sein, dass "Lockbitsupp" tatsächlich in Russland ansässig ist. Nach dem Einmarsch in der Ukraine hat sich der deutsche Autohersteller aus Russland zurückgezogen.
"Wir wissen, wer er ist. Wir wissen, wo er lebt und wir wissen, wie viel er wert ist", heisst es von der NCA. Zudem behauptet die Behörde, dass Lockbitsupp mit der Justiz zusammengearbeitet hat. Ob dies der Wahrheit entspricht, oder nur diejenigen Mitglieder verunsichern soll, die noch auf freiem Fuss leben, wird sich erst noch zeigen.

Möchten Sie uns unterstützen?

Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr erfahren

Mehr zum Thema

image

Justitia 4.0: Schweiz übernimmt österreichischen Code

Die Schweiz und Österreich haben eine Kooperation zur Weiterentwicklung des digitalen Justizarbeitsplatzes unterzeichnet. Justitia 4.0 übernimmt den Code der österreichischen Lösung.

publiziert am 17.4.2024
image

Neue russische Windows-Backdoor entdeckt

Security-Experten melden eine Hintertür in Windows-Systemen. Hinter ihr soll die berüchtigte russische Hackergruppe Sandworm stecken, die vor allem gegen die Ukraine agiert.

publiziert am 17.4.2024
image

Weiterer Supply-Chain-Angriff auf Open-Source-Bibliothek

Cyberkriminelle wollten sich Zugang zu einem Open-Source-Projekt erschleichen. Das zeigt die Anfälligkeit von solchen Lösungen.

publiziert am 16.4.2024
image

Samsung erhält Milliarden für Bau einer US-Chipfabrik

Der südkoreanische Konzern will neue Standorte für Entwicklung und Fertigung in den USA bauen und erhält dafür Subventionen in Milliardenhöhe.

publiziert am 15.4.2024