Der Ransomware-as-a-Service (RaaS)-Betrieb LockBit hat seine Leak-Site nur eine Woche später neu gestartet eine koordinierte Löschaktion von der globalen Strafverfolgung.

Am 19. Februar führte die „Operation Cronos Taskforce“, zu der unter anderem das FBI, Europol und die britische National Crime Agency (NCA) gehören, eine massive Aktion durch. Nach Angaben der britischen National Crime Agency (NCA)Die Taskforce zerstörte die über drei Länder verteilte Infrastruktur, darunter Dutzende Server. Es beschlagnahmte Code und andere wertvolle Informationen, von den Opfern gestohlene Datenbestände und mehr als 1,000 zugehörige Entschlüsselungsschlüssel. Es zerstörte die Leak-Site der Gruppe und ihr Partnerportal, fror mehr als 200 Kryptowährungskonten ein, verhaftete einen polnischen und einen ukrainischen Staatsbürger und erhob Anklage gegen zwei russische Staatsbürger.

Ein Sprecher der NCA fasste es am 26. Februar zusammen, sagte Reuters, dass die Gruppe „völlig kompromittiert bleibt“.

Die Person fügte jedoch hinzu, dass „unsere Arbeit, sie ins Visier zu nehmen und zu stören, weitergeht.“

Tatsächlich war die Operation Cronos möglicherweise nicht so umfassend, wie es zunächst schien. Obwohl es den Strafverfolgungsbehörden gelang, die primäre Infrastruktur von LockBit zu beschädigen, gab sein Anführer in einem Brief zuDie Backup-Systeme blieben unangetastet, sodass der Betrieb schnell wieder auf die Beine kommen konnte.

„Letztendlich ist es ein schwerer Schlag der Strafverfolgungsbehörden gegen sie“, sagt der ehemalige FBI-Spezialagent Michael McPherson, jetzt Senior Vice President für technische Operationen bei ReliaQuest. „Ich glaube nicht, dass irgendjemand naiv genug ist zu sagen, dass es der Sargnagel für diese Gruppe ist, aber das ist ein schwerer Schlag.“

LockBits Seite der Geschichte

Man wäre gut beraten, dem Anführer von LockBit mit Skepsis zu begegnen. „Wie viele dieser Leute im Ransomware-Bereich, Er hat ein ziemliches Ego, er ist ein bisschen sprunghaft. Und es ist bekannt, dass er ziemlich große Geschichten erzählt, wenn es seinem Ziel entspricht“, sagt Kurtis Minder, ein Ransomware-Unterhändler sowie Mitbegründer und CEO von GroupSense.

In seinem Brief schlägt die Person oder Personen, die Minder als „Alex“ bezeichnet, jedoch einen besonders bescheidenen Ton an.

„Aufgrund meiner persönlichen Nachlässigkeit und Verantwortungslosigkeit habe ich nachgelassen und PHP nicht rechtzeitig aktualisiert“, schrieb der Ransomware-Rädelsführer und verwies auf den kritischen, mit 9.8 von 10 CVSS bewerteten PHP-Fehler CVE-2023-3824 „Dadurch wurde Zugriff auf die beiden Hauptserver erlangt, auf denen diese PHP-Version installiert war. Mir ist klar, dass es möglicherweise nicht dieser CVE war, sondern etwas anderes wie 0day für PHP, aber ich kann nicht 100 % sicher sein.“

Entscheidend ist, dass er hinzufügte: „Alle anderen Server mit Backup-Blogs, auf denen PHP nicht installiert war, sind nicht betroffen und werden weiterhin die von den angegriffenen Unternehmen gestohlenen Daten weitergeben.“ Dank dieser Redundanz war die Leak-Site von LockBit tatsächlich nach einer Woche wieder betriebsbereit und zeigte ein Dutzend Opfer: eine Kreditplattform, ein landesweites Netzwerk von Zahnmedizinlaboren und vor allem Fulton County, Georgia, wo sich der ehemalige Präsident Trump aufhält derzeit in einen Rechtsstreit verwickelt.

Haben Strafverfolgungsmaßnahmen Auswirkungen?

Seit Jahren machen US- und EU-Strafverfolgungsbehörden mit aufsehenerregenden Razzien bei großen Ransomware-Operationen Schlagzeilen: Bienenstock, AlphV/BlackCat, Ragnar-Schließfach, und so weiter. Und das trotz dieser Bemühungen Ransomware nimmt weiter zu kann bei manchen Apathie hervorrufen.

Aber nach solchen Razzien erklärt McPherson: „Entweder haben sich diese Gruppen nicht wiederhergestellt, oder sie haben sich in geringerem Maße erholt.“ Hive konnte zum Beispiel noch nicht zurückkommen – es gab Interesse daran, aber es kam wirklich nicht zustande.“

Selbst wenn die Strafverfolgungsbehörden LockBit nicht vollständig auslöschten, hat es den Hackern wahrscheinlich dennoch großen Schaden zugefügt. Minder weist beispielsweise darauf hin, dass „sie offenbar Zugriff auf einige Informationen der Partner erhalten haben“, was den Behörden einen erheblichen Einfluss verschafft.

„Wenn ich ein Partner oder ein anderer Ransomware-Entwickler bin, denke ich vielleicht zweimal darüber nach, mit diesen Leuten zu interagieren, nur für den Fall, dass sie es getan haben wurde FBI-Informant. Es erzeugt also ein gewisses Misstrauen. Und auf der anderen Seite denke ich, dass sie LockBit das Gleiche antun, indem sie sagen: „Hey, wir wissen tatsächlich, wer alle Partner sind, wir haben alle ihre Kontaktinformationen.“ Nun wird LockBit seinen eigenen Partnern gegenüber misstrauisch sein. Es ist ein bisschen Chaos. Es ist interessant."

Um Ransomware langfristig wirklich zu bekämpfen, müssen Regierungen jedoch möglicherweise auffällige Löschmaßnahmen durch wirksame Richtlinien und Programme ergänzen.

„Es muss ein ausgewogenes Programm geben, vielleicht auf Bundesebene, das tatsächlich bei der Prävention, bei der Reaktion und bei der Reparatur hilft. Ich denke, wenn wir sehen würden, wie viel Kapital aufgrund dieser Art von Aktivitäten tatsächlich aus der US-Wirtschaft abfließt, würden wir erkennen, dass es sinnvoll wäre, ein solches Programm zu subventionieren, das die Menschen davon abhalten würde, Lösegeld zahlen zu müssen.“ er sagt.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/threat-intelligence/lockbit-leak-site-reemerges-week-after-complete-compromise-