Die Ransomware-Bande Lockbit 2.0 gehört neben Conti und Hive zu den derzeit aktivsten. Im Schnitt bekennt sich die Bande zu mehreren Angriffen täglich. Sie praktiziert die doppelte Erpressung, das Modell von Ransomware-as-a-Service (RaaS) und nimmt gerne prominente Ziele ins Visier. So zum Beispiel den dänischen Konzern Vestas. In diesem Fall wurde nach dem Angriff auch tatsächlich ein grosses Datenpaket
ins Darknet gestellt.In anderen Fällen haben sich die Drohungen von Lockbit aber mehr als laues Lüftchen entpuppt. Bei Scheider Electric wurde ein Mini-Paket mit einem Dutzend PDFs publiziert – das französische Unternehmen dementierte, überhaupt angegriffen worden zu sein. Im Fall von Thales, ebenfalls ein angebliches Lockbit-Opfer, waren die erbeuteten Daten relativ
unbedeutender Developer-Code.Am 2. Februar 2022 verkündete Lockbit, das französische Justizministerium attackiert zu haben. Kurz darauf folgte die Veröffentlichung von Daten. Doch diese scheinen nicht vom Justizministerium zu stammen, sondern von einer Anwaltskanzlei in Caen, wie unter anderem
'Le Parisien' berichtete.
"Drei Fehler auf 1000+ Angriffe, das ist normal"
Sorgt Lockbit also gerne für Wind mit prominenten Namen, um andere Opfer gezielt einzuschüchtern? Der französische Cybersecurity-Spezialist Soufiane Tahiri nahm offenbar mit den Cyberkriminellen Kontakt auf und veröffentlichte
auf Twitter ein Chat-Protokoll.
Er fragte: "Ist das eine neue Taktik, grosse Namen rauszuschreien, um Druck auf kleinere Opfer auszuüben?" Eine Person namens "LockbitSupp" antwortete, sie wisse das nicht: "Das ist das Werk von Partnern." Bei den drei Fällen in Frankreich handle es sich um "verschiedene Partner". Lockbit habe "1000+ Ziele". "Ich denke, drei Fehler bei 1000+ Zielen, das ist normal", so LockbitSupp.
FBI veröffentlicht Details zu Lockbit
Gleichzeitig meldete sich auch das FBI zum Thema Lockbit zu Wort. In einem am 4. Februar veröffentlichten
"Flash" (PDF) schreibt die US-Behörde: "Lockbit 2.0 arbeitet als Affiliate-basierter Ransomware-as-a-Service-Anbieter (RaaS) und setzt eine Vielzahl von Taktiken, Techniken und Verfahren (TTPs) ein, wodurch erhebliche Herausforderungen für Verteidigung und Minderung entstehen." Zu den TTPs würden gekaufte Zugänge, ungepatchte Schwachstellen, Insider-Zugänge und Zero-Day-Exploits gehören.
In der Meldung erwähnt das FBI weitere technische Details und Indikatoren zum Vorgehen von Lockbit. So heisst es: "Vor der Verschlüsselung verwenden Lockbit-Tochterunternehmen hauptsächlich die Stealbit-Anwendung, die direkt vom Lockbit-Panel bezogen wird, um bestimmte Dateitypen zu exfiltrieren. Die gewünschten Dateitypen können vom Partner konfiguriert werden, um den Angriff auf das Opfer zuzuschneiden."
Mit der auf Cybersecurity spezialisierten Newssite
'The Record' hat ein weiteres Medium direkten Kontakt zu einer Ransomware-Bande aufgenommen. Hier handelt es sich um die Bande Alphv, auch "BlackCat" genannt, die unter anderem im Verdacht steht, für den Angriff auf den deutschen
Kraftstoff-Zulieferer Oiltanking verantwortlich zu sein.
Alphv / BlackCat: "Die Ergebnisse sprechen für sich"
Im Gespräch mit 'The Record' erklärt ein Alphv-Vertreter: "Zum Teil sind wir alle mit Gandrevil (Gandcrab/REvil), Blackside (Blackmatter/Darkside), Mazegreggor (Maze/Egregor), Lockbit usw. verbunden, weil wir Werbetreibende sind." Werbetreibende würden Software schreiben und einen Markennamen auswählen. "Ein Partnerschaftsprogramm ist nichts ohne Werbetreibende. Es gibt kein Rebranding oder eine Mischung von Talenten, weil wir keinen direkten Bezug zu diesen Partnerschaftsprogrammen haben."
Im Moment sei man aber nicht an einer Erweiterung der Zusammenarbeit "mit anderen Tochtergesellschaften" interessiert. "Wir arbeiten nur mit russischsprachigen Partnern zusammen."
Dann prahlt er: "Ohne Übertreibung glauben wir, dass es derzeit keine Konkurrenzsoftware auf dem Markt gibt. Zusätzlich zu hochwertiger Software bieten wir fortgeschrittenen Partnern die gesamte Palette an Dienstleistungen im Zusammenhang mit Lösegeld – Metaverse oder Premium-Concierge – nennen Sie es, wie Sie wollen. (…) Die Ergebnisse sprechen für sich."
Auf die Frage, ob Alphv eine "Dream-Team-Ransomware-Partnerschaft" aufbaue, heisst es: "Das geschah in der Planungsphase. Unser Hauptziel ist es, unser eigenes RaaS-Meta-Universum zu schaffen, das die gesamte Bandbreite an Dienstleistungen rund um unser Geschäft umfasst."