Betriebsunterbrechung für Cyberkriminelle : Was die LockBit-Disruption für Unternehmen bedeutet und womit in Zukunft zu rechnen ist
Ende Februar gelang internationalen Strafverfolgungsbehörden ein großer Coup gegen den cyberkriminellen Untergrund, indem sie die womöglich gefährlichste Ransomware-Gruppe der Welt hacken und ihr Geschäft aushebeln konnten. Auch Trend Micro war an der LockBit-Disruption beteiligt, vereitelte die Veröffentlichung einer neuen Ransomware-Version und analysierte sie. Dieser Artikel beleuchtet die Hintergründe der Operation „Cronos“ und liefert Ausblicke auf die zu erwartenden Veränderungen der Ransomware
In den vergangenen Jahren hat sich der cyberkriminelle Untergrund zunehmend professionalisiert und kommerzialisiert – die großen Banden sind heute aufgestellt wie Unternehmen: Sie haben Angestellte und Geschäftspartner, mit denen sie zusammenarbeiten oder für die sie Services anbieten. Einer der einflussreichsten und profitabelsten Cybercrime-Konzerne war bis vor Kurzem die Gruppe LockBit. Rund 25–30 % der Ransomware-Angriffe im vergangenen Jahr gingen Erkenntnissen von Trend Micro zufolge auf ihr Konto und das ihrer Affiliates.
LockBit bot Ransomware as a Service (RaaS) an: Die Cyberkriminellen stellten ihren Partnern Tools und Infrastruktur zur Verfügung, um einen Ransomware-Angriff durchzuführen. Als Gegenleistung behielt der RaaS-Provider einen Teil des erzielten Lösegelds ein. Üblicherweise lag der Anteil bei 20 %, konnte aber auf bis zu 50 % steigen, wenn LockBit selbst die Verhandlungen führte. Um den Druck auf die Opfer zu erhöhen und den Gewinn zu maximieren, wendeten die Akteure die Methode der „Double Extortion“ (doppelte Erpressung) an: Sie verschlüsselten die Daten ihrer Opfer nicht nur, sondern stahlen diese auch und drohten mit Veröffentlichung.
Das LockBit- „Erfolgsrezept“
Erstmals wurde LockBit unter dem Namen „ABCD Ransomware“ im September 2019 gesichtet. Im Januar 2021 erschien dann die Version LockBit v1, gefolgt von LockBit 2.0 (Spitzname „Red“) ab Juni 2021 und LockBit 3.0 („Black“) ab März 2022. Das cyberkriminelle Unternehmen entwickelte seine Software kontinuierlich weiter und baute seinen Marktanteil aus.
Einer der Gründe für den Erfolg war sicherlich, dass LockBit als besonders innovativ galt: Mit der LockBit-Version 2.0 führte das Bedrohung Ransomware Unternehmen zum Beispiel die Malware StealBit ein, die eine automatisierte Datenexfiltration ermöglicht. Die Entwickler priesen das Tool als schnellste und effizienteste Verschlüsselung auf dem Markt an. Zu den technischen Besonderheiten zählt auch, dass sich die Ransomware selbst weiterverbreiten kann, sobald sie einen Host infiziert hat und andere Ziele in ihrer Nähe findet.
Außerdem investierte LockBit in Marketing-Maßnahmen, engagierte Network-Access-Broker, rekrutierte Firmen-Insider und sponserte Hacking-Wettbewerbe, um talentierte Nachwuchskräfte zu gewinnen. Das Cybercrime-Unternehmen startete sogar ein eigenes Bug-Bounty-Programm, um seine Ransomware zu verbessern: Es rief die Szene dazu auf, Schwachstellen in LockBit 3.0 aufzudecken, und bot dafür Prämien von bis zu einer Million US-Dollar. Trotzdem gelang es Ermittlern schließlich, in die Infrastruktur des RaaS-Anbieters einzudringen.
Operation „Cronos“
Am 19. Februar 2024 schlug die Operation „Cronos“ zu: Strafverfolgungsbehörden aus der ganzen Welt, angeführt von der Britischen National Crime Agency (NCA), übernahmen die Kontrolle über die Websites und Server von LockBit. Sie ersetzten sämtliche LockBit-LeakSeiten durch eine Splash-Seite und einen Countdown, der weitere Informationen ankündigte. LockBit-Affiliates, die sich einloggten, wurden mit einer personalisierten Nachricht begrüßt, die ihnen höflich mitteilte, dass sich die NCA bei ihnen melden würde.
Am 20. Februar tauschte das Cronos-Team die LockBit-Leak-Seiten wieder zurück – aber mit neuem Inhalt: Statt Meldungen zu erfolgreichen Angriffen und Daten von Opfern waren jetzt vertrauliche Informationen über LockBit selbst zu sehen, darunter technische Informationen, persönliche Daten von Verdächtigen und Interna, welche auf eine wachsende Dysfunktionalität der Gruppe schließen ließen.
Darüber hinaus stellte Trend Micro einen Beitrag auf die Seite, der für die Cyberkriminellen besonders schmerzhaft gewesen sein dürfte: Die Sicherheitsforscher hatten eine neue LockBit-Encryptor-Entwicklung abgefangen, an der der RaaS-Anbieter gerade arbeitete – sehr wahrscheinlich wollte er diese demnächst als Lockbit 4.0 auf den Markt bringen. Trend Micro veröffentlichte alle technischen Details der Malware auf der Leak-Seite und unterstützte die japanische Polizei bei der Entwicklung eines Entschlüsselungstools, das auf der Website „No More Ransom“ zur Verfügung steht (www.nomoreransom.org). Diese Aktion vereitelte nicht nur den Launch der neuen Version, sondern vielmehr wurde hierdurch die ganze Produktfamilie unbrauchbar.
Neuer Ansatz: Disruption
Operation „Cronos“ führte bisher zur Festnahme von zwei Personen, zur Anklage von fünf weiteren, zur Veröffentlichung aller Decrypting-Schlüssel, zum Einfrieren von über 200 Kryptowährungs-Wallets und zur Beschlagnahme von 34 Servern in acht Ländern. Auch wenn LockBit noch nicht zerschlagen ist, hat die kriminelle Gruppe ihre Infrastruktur, ihre Top-Entwicklung und ihre Stellung in der cyberkriminellen Branche verloren.
Das Cronos-Team verfolgte bei der Operation gezielt einen disruptiven Ansatz: Die Taskforce wollte alles tun, um der Gruppe das Fortbestehen unmöglich zu machen. Mit ihren Aktionen ist es den Strafverfolgungsbehörden gelungen, den Ruf der Hauptakteure zu zerstören, einen Keil zwischen sie und ihre Partner zu treiben und andere Cyberkriminelle von einer Zusammenarbeit abzuschrecken. Der Geschäftsbetrieb des Ransomware-Anbieters wurde nachhaltig gestört und unterminiert. Diese Strategie packt die cyberkriminelle Organisation an ihrer empfindlichsten Stelle und ist am Ende womöglich effektiver als die rein technische Abschaltung eines Dienstes, der doch nur andernorts wieder auftaucht.
Was hat die LockBit-Disruption bewirkt?
Wie erfolgreich dieser disruptive Ansatz langfristig sein wird, lässt sich noch nicht beurteilen. Die Sicherheitsforscher von Trend Micro sehen jedoch einige positive Entwicklungen: So beobachteten sie beispielsweise, wie eine andere Ransomware-Gruppe beim Versuch, Partner anzuwerben, ausdrücklich darauf hinwies, dass sie nicht mit LockBit zusammenarbeiten würde.
Vermeintliche Berichte über LockBit-Angriffe in den Tagen nach der Disruption erwiesen sich im Übrigen als falsch – denn wie eine Untersuchung zeigte, handelte es sich dabei um eine andere, mit LockBit verwandte Ransomware. Auch die Cybercrime-Gruppe selbst meldete sich zwar mit einer neuen Leak-Seite zurück – die gelisteten Opfer stammen jedoch aus der Zeit vor der Disruption und wurden größtenteils erneut veröffentlicht. Damit wollte der RaaS-Anbieter vermutlich den Anschein erwecken, dass er immer noch gut im Geschäft sei.
In jedem Fall hat die LockBit-Disruption zu einer zunehmenden allgemeinen Paranoia im Untergrund geführt. So diskutierten zum Beispiel etliche Akteure darüber, dass wichtige cyberkriminelle Foren von den Strafverfolgungsbehörden unterwandert worden sein könnten. Auffällig ist auch, dass sich konkurrierende Cybercrime-Unternehmen nicht – wie sonst nach einem Take-Down üblich – sofort um die verbliebenen Affiliates bemühten.
In der Szene herrscht scheinbar großes Misstrauen, weil unklar ist, wie viel die Polizei bereits über die LockBit-Partner weiß oder ob sie womöglich Identitäten übernommen hat. Zudem gibt es Erkenntnisse, dass sich immer mehr Affiliates ohnehin schon von LockBit abgewendet hatten, weil sie über die Art der Zusammenarbeit verärgert waren.
Next Generation Ransomware
Erkenntnisse aus der Analyse von LockBits NextGeneration-Developer-Version (LockBit-NG-Dev) legen allerdings nahe, dass es aller Erfolge zum Trotz für Security-Verantwortliche keinen Anlass gibt, sich entspannt zurücklehnen. Vielmehr sollten sie sich darauf einstellen, dass ehemalige LockBit-Mitglieder ihre Taktiken und Techniken in andere cyberkriminelle Gruppen tragen. Daher ist es wichtig, sich die Analyse der abgefangenen neuen Ransomware genau anzusehen.
Die Sicherheitsforscher stellten am untersuchten Sample einige grundlegende Änderungen im Vergleich zu älteren Versionen fest: Zum Beispiel ist LockBit-NG-Dev plattformunabhängig, da es in .NET geschrieben und mit CoreRT kompiliert worden ist. Da die Codebasis durch den Wechsel der Programmiersprache völlig neu ist, braucht es wahrscheinlich auch neue Sicherheits-Patterns, um sie zu erkennen.
Außerdem prüft das Executable bei der Ausführung jetzt das aktuelle Datum und hat somit eine Gültigkeitsdauer. Das sollte dem RaaS-Anbieter vermutlich helfen, die Nutzung seines Services besser zu kontrollieren, und automatisierte Security-Analysen erschweren. Ähnlich wie bei der Vorgängerversion enthält die Konfiguration von LockBit-NG-Dev Flags für Routinen, eine Liste der zu beendenden Prozesse und Dienstnamen sowie zu vermeidende Dateien und Verzeichnisse. Nach wie vor kann die Ransomware auch verschlüsselte Dateien mit Zufallsnamen umbenennen.
Weitere Ransomware-Trends
Trend Micro hat zudem die veränderten Taktiken anderer Ransomware-Gruppen untersucht und daraus Trends identifiziert, auf die sich die Security-Abteilungen in den kommenden Monaten voraussichtlich einstellen müssen. Auffällig ist zum Beispiel der zunehmende Einsatz von Remote-Verschlüsselung – dieses Vorgehen konnten die Sicherheitsforscher auch bei den kriminellen Gruppen Akira, BlackCat, BlackMatter und Royal beobachten. Die Angreifer mappen die zu verschlüsselnden Verzeichnisse, statt sich lateral im Netzwerk zu bewegen. Dadurch versuchen sie, ihren Fußabdruck zu verkleinern und länger unbemerkt zu bleiben. Um Endpoint-Detection-and-Response-(EDR)-Systeme zu umgehen, erstellen BlackCat und Akira zudem nicht-überwachte virtuelle Maschinen: Sie mappen und verschlüsseln Dateien in Hyper-V-Hypervisor-Systemen und angeschlossenen VMs.
Eine andere neue Taktik besteht darin, nicht mehr alle Daten, sondern nur noch einzelne Datenpakete zu verschlüsseln. Das beschleunigt die Verschlüsselung, macht die Daten aber dennoch unbrauchbar für das Opfer und erschwert den Entschlüsselungsprozess. Dieses Vorgehen zeigen zum Beispiel die Ransomware-Gruppen BlackCat, NoEscape, Play, BlackBasta und Agenda.
Außerdem zeichnet sich ab, dass Multi-Ransomware-Angriffe immer beliebter werden: Das heißt, der ursprüngliche Angreifer verkauft seinen Zugang an andere Ransomware-Gruppen, die anschließend mehrere Angriffe mit einer Kombination aus Malware, Datendiebstahl und Wiper-Tools starten. So können die Cyberkriminellen den Druck auf die Opfer maximieren.
Die Analyse globaler Bedrohungsdaten zeigt zudem, dass Cyberkriminelle immer weniger breit gestreute Angriffe entwickeln, sondern gezieltere Kampagnen für spezifische Opfergruppen durchführen. Dabei investieren sie mehr Finesse, um Security-Filter auf Netzwerk- und E-Mail-Ebene zu umgehen, wodurch Bedrohungen häufig erst am Endpunkt identifiziert werden. Trend-Micro-Sicherheitssysteme verzeichneten im vergangenen Jahr weniger Erkennungen im Bereich E-Mail und Websites, dafür einen Anstieg der blockierten bösartigen Dateien.
Abwehr-Chancen
Cyberkriminelle entwickeln ihre Techniken und Taktiken kontinuierlich fort, um die Oberhand zu behalten und ihr Geschäftsmodell zu optimieren – Erkenntnisse, die wir heute gewinnen, können morgen schon wieder überholt sein. Daher benötigen Unternehmen allem voran ein ganzheitliches Security-Konzept, mit dem sie ihre gesamte IT-Umgebung im Blick behalten: Sie müssen in der Lage sein, Cyberrisiken kontinuierlich zu identifizieren und zu priorisieren, Schwachstellen zu schließen, Bedrohungen frühzeitig aufzudecken und schnell zu reagieren.
Unverzichtbar ist dabei eine Kombination aus kontinuierlichem Cyber-Risikomanagement und einer leistungsfähigen Angriffserkennung über alle Vektoren der IT-Umgebung hinweg – vom Endpunkt über die Server bis in die Cloud. Extended-Detection-and-Response- (XDR)-Verfahren, die Warnmeldungen aller angeschlossenen Security-Systeme korrelieren und analysieren, spielen dabei eine Schlüsselrolle. Mit ihrer Hilfe sehen Security-Teams, was in der IT-Umgebung passiert, und gewinnen schnell ein detailliertes Angriffsbild – so können sie Eindringlinge stoppen, bevor Daten gestohlen oder verschlüsselt werden.
Ein sicheres Backup-Konzept ist natürlich weiterhin Pflicht, reicht allein jedoch nicht aus, um sich vor Ransomware zu schützen. Denn nahezu alle Akteure verschlüsseln nicht mehr nur, sondern greifen auch Daten ab. Vieles deutet darauf hin, dass sich der Datendiebstahl zum eigentlichen Ziel entwickelt, denn damit lässt sich gutes Geld verdienen, ohne dass man auf die Zahlungsbereitschaft der Opfer angewiesen ist. Dass ein Markt hierfür existiert, hat etwa der Fall Europcar gezeigt: Vor Kurzem hatte ein Cyberkrimineller in einem Untergrundforum 50 Millionen Datensätze des Mietwagenkonzerns angeboten. Laut Europcar handelte es sich tatsächlich jedoch um einen Fake, mit dem der Akteur wohl seine Kunden übers Ohr hauen wollte.
Fazit
Auch wenn den Strafverfolgungsbehörden mit Operation „Cronos“ ein wichtiger Schlag gegen die cyberkriminelle Szene gelungen ist, muss man davon ausgehen, dass die Zahl der Ransomware-Angriffe sich davon eher nicht beeindrucken lässt. Allerdings wird das Ökosystem wohl anders aussehen und stärker fragmentiert sein.
Wenn es weniger große, marktdominierende Cybercrime-Unternehmen gibt, ist das gut für uns als Verteidiger: Denn mächtige, erfolgreiche Organisationen sind gefährlicher. Sie ziehen weitere kriminelle Talente an, werden dadurch immer stärker und können ihr Geschäftsmodell schneller optimieren.
Es wird spannend bleiben, zu sehen, wie sich die Ransomware-Branche nach der LockBit-Disruption neu formiert. Security-Verantwortliche sollten die kurze Verschnaufpause nutzen, um ihre Sicherheitskonzepte nachzuschärfen. Eine Orientierungshilfe bietet dabei die NIS-2-Richtlinie – auch für Organisationen, für die sie nicht verbindlich gilt: Sie schreibt kontinuierliches Cyber-Risikomanagement und eine schnelle, ganzheitliche Angriffserkennung vor.
Richard Werner ist Security Advisor bei Trend Micro.