LockBit hat sich als eine der gefährlichsten Cyberbedrohungen überhaupt etabliert. Die Hackergruppe, bekannt für ihre raffinierte und skrupellose Ransomware, hat sich quasi zu einem Synonym für Cyberterror entwickelt. Wer sind die Personen dahinter und wie operieren sie?
Die Hackergruppe infiltriert Computersysteme, verschlüsselt lebenswichtige Daten und fordert hohe Lösegelder. LockBit war für fast ein Drittel aller bekannten Ransomware-Angriffe im Zeitraum von Juli 2022 bis Juni 2023 verantwortlich.
Die Ursprünge
LockBit trat erstmals im September 2019 als „ABCD“-Ransomware in Erscheinung. Zu Beginn des Jahres 2020 wandelte sich die Gruppe zu einem Ransomware-as-a-Service (RaaS)-Modell und nahm den heutigen Namen an. Sie hat seither eine Vielzahl von Organisationen in verschiedenen Sektoren, darunter Bildung, Finanzen, Gesundheitswesen und professionelle Dienstleistungen, ins Visier genommen.
Der Name steht sowohl für die Malware als auch die dahinterstehende kriminelle Organisation. Die Hacker verkaufen die Schadsoftware auch an andere Betreiber, um damit Geld zu verdienen. In Untergrundforen wurde die Malware als “die schnellste Verschlüsselungssoftware der Welt” angepriesen.
So funktioniert LockBit
Die Operationen beginnen häufig mit dem Kauf und der Ausnutzung von Schwachstellen, dem Brute-Forcing von Remote Desktop Protocols (RDP) oder Phishing-Angriffen. Die Ransomware wird oft mit PowerShell Empire ausgeführt, wobei auch andere Malware wie Cobalt Strike und PsExec zum Einsatz kommt, um sich seitlich durch die Netzwerke der Opfer zu bewegen.
Die Cyberkriminellen nutzen verschiedene Taktiken, um in Netzwerke einzudringen und Schaden anzurichten. Dazu gehören Social-Engineering-Angriffe wie Phishing, um an Benutzerdaten zu gelangen, sowie das Ausnutzen von Schwachstellen in Netzwerken. Einmal im Netzwerk, versuchen die Angreifer, ihre Reichweite auszudehnen, sensible Daten zu lokalisieren und zu verschlüsseln, ihre Zugriffsrechte zu erhöhen und ihre Kontrolle über das betroffene System zu stärken.
Das Kollektiv unterhält ein Dark-Web-Portal im The Onion Router (TOR)-Netzwerk, wo sie Talente rekrutiert und die Daten von Opfern freigibt, die sich weigern, ihre Forderungen zu erfüllen. Die Köpfe der Angriffe versichern den Opfern, dass diejenigen, die das Lösegeld zahlen, ihre Daten zurückerhalten werden. Das ist Teil ihres Geschäftsmodells. Wie die meisten Ransomware-Gruppen verlangen die Cyberkriminellen Zahlungen in Kryptowährungen. In der Vergangenheit war Bitcoin oder auch Monero die bevorzugte Zahlungsmethode.
Der Erfolg von Lockbit hängt zum Teil von seinen so genannten “Affiliates” ab, also gleichgesinnten kriminellen Gruppen, die angeworben werden, um Angriffe mit den digitalen Erpressungswerkzeugen von Lockbit durchzuführen. Auf ihren Internetauftritten rühmt sich die Bande mit ihren Erfolgen beim Hacken verschiedener Organisationen und stellt ein detailliertes Regelwerk für Cyberkriminelle auf, die ein “Bewerbungsformular” für eine Zusammenarbeit mit ihnen einreichen können.
Die Evolution der Malware
Seit ihrer ersten Malware, die die .abcd-Erweiterung verwendete, hat LockBit mehrere neue Varianten veröffentlicht: LockBit, LockBit 2.0, LockBit 3.0 und LockBit Green. Jede dieser Varianten repräsentiert eine Weiterentwicklung in der Verschlüsselungsgeschwindigkeit, um Sicherheitsmaßnahmen zu umgehen.
LockBit als globale Bedrohung
Die Ransomware-Gruppe operiert hauptsächlich aus Osteuropa, den ehemaligen Sowjetrepubliken und Russland. Zwar hat das FBI die kriminelle Organisation nicht direkt als russisch eingestuft, doch eine Bewertung der öffentlichen Kommunikation – die eine weitgehend antiwestliche politische Einstellung vertritt – deutet auf russische Ursprünge mit weltweiten Zweigstellen hin. Die Gruppe hat weltweit mindestens 1.000 Opfer angegriffen und dabei mindestens 100 Millionen US-Dollar an Lösegeldforderungen gestellt.
Die Bande sieht sich selbst als den “Robin Hood” der Ransomware-Gruppen und wirbt für den sogenannten “ethischen” Einsatz von Ransomware. So behauptet sie, dass sie keine Organisationen aus den Bereichen Gesundheit, Bildung, Wohltätigkeit oder Soziales angreift. Die Reaktionen auf die Angriffe sind komplex, da die Zahlung von Lösegeldern oft nicht empfohlen wird und die Wiederherstellung der Systeme eine Herausforderung darstellt.
Präventionsstrategien gegen LockBit
Um sich gegen LockBit zu schützen, empfehlen Experten Maßnahmen wie Patch-Management, Netzwerksegmentierung, Zugriffskontrolle auf Basis des geringsten Privilegs, starke Passwort- und MFA-Anforderungen, Mitarbeiterschulungen und regelmäßige Systembackups. Trotz der Bemühungen der Strafverfolgungsbehörden, Ransomware-Gruppen zu bekämpfen, bleibt LockBit aktiv und präsent, was die Notwendigkeit unterstreicht, Präventionsmaßnahmen zu priorisieren und einen Reaktionsplan für den Fall eines Angriffs zu haben.
Die Zukunft
LockBit bleibt die aktivste Ransomware-Gruppe. Die Strafverfolgungsbehörden weltweit haben sich jedoch verstärkt darauf konzentriert, Ransomware-Banden zu bekämpfen, und mehrere große Gruppen wurden in jüngster Vergangenheit zerschlagen. Die Ransomware-Wirtschaft hat ebenfalls einen Schlag erlitten, da die Bereitschaft der Opfer, Lösegeldforderungen nachzukommen, abgenommen hat.
Fazit
LockBit symbolisiert die ständige Bedrohung durch Ransomware in der heutigen digitalen Welt wie kaum jemand anderes. Die Gruppe hat sich durch ihre Fähigkeit, sich anzupassen und zu innovieren, einen Namen gemacht und bleibt eine bedeutende Herausforderung für Organisationen weltweit. Es ist entscheidend, dass Unternehmen und Einzelpersonen sich der Risiken bewusst sind und proaktive Schritte unternehmen, um sich gegen solche Cyberangriffe zu schützen. Die Geschichte von LockBit ist ein warnendes Beispiel dafür, wie schnell und effizient Cyberkriminelle agieren können und wie wichtig es ist, stets wachsam und vorbereitet zu sein.