LockBit Ransomware-Takedown greift tief in die Lebensfähigkeit der Marke ein

LockBit Ransomware-Takedown greift tief in die Lebensfähigkeit der Marke ein

Zeitstempel: 3. April 2024, 6:11 Uhr
LockBit Ransomware-Takedown greift tief in die Lebensfähigkeit der Marke ein PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.

Obwohl die Ransomware-as-a-Service (RaaS)-Bande LockBit behauptet, nach einem Aufsehen erregenden Angriff Mitte Februar zurückgekehrt zu sein, zeigt eine Analyse erhebliche, anhaltende Störungen der Aktivitäten der Gruppe – zusammen mit Dominoeffekten im gesamten Untergrund der Cyberkriminalität. mit Auswirkungen auf das Geschäftsrisiko.

Laut Trend Micro war LockBit im Jahr 25 für 33 % bis 2023 % aller Ransomware-Angriffe verantwortlich und ist damit mit Abstand die größte Gruppe finanzieller Bedrohungsakteure des letzten Jahres. Seit seiner Entstehung im Jahr 2020 hat es Tausende von Opfern und Lösegelder in Millionenhöhe gefordert, darunter auch zynische Angriffe auf Krankenhäuser während der Pandemie.

Das Einsatz der Operation Cronos, an dem mehrere Strafverfolgungsbehörden auf der ganzen Welt beteiligt waren, führte zu Ausfällen auf mit LockBit verbundenen Plattformen und zur Übernahme der Leak-Site durch die britische National Crime Agency (NCA). Letzteres nutzten die Behörden dann, um Verhaftungen vorzunehmen, Sanktionen zu verhängen, Kryptowährungen zu beschlagnahmen und weitere Aktivitäten im Zusammenhang mit dem Innenleben der Gruppe durchzuführen. Sie machten auch das LockBit-Admin-Panel bekannt und enthüllten die Namen der Partner, die mit der Gruppe zusammenarbeiten.

Darüber hinaus stellten sie fest, dass Entschlüsselungsschlüssel zur Verfügung gestellt würden, und gaben bekannt, dass LockBit im Gegensatz zu seinen Versprechen gegenüber den Opfern niemals Opferdaten gelöscht habe, nachdem Zahlungen geleistet worden seien.

Alles in allem war es eine geschickte Machtdemonstration und Zugriffskontrolle seitens der Polizei, die unmittelbar danach andere im Ökosystem verschreckte und zu Vorsicht führte, wenn es darum ging, mit einer wieder auftauchenden Version von LockBit und seinem Rädelsführer namens LockBit zusammenzuarbeiten Behandeln Sie „LockBitSupp.“

Forscher von Trend Micro stellten fest, dass es zweieinhalb Monate nach der Operation Cronos kaum Anzeichen dafür gibt, dass sich die Dinge für die Gruppe ändern – trotz der Behauptungen von LockBitSupp, dass die Gruppe wieder in den Normalbetrieb zurückkehrt.

Eine andere Art der Bekämpfung von Cyberkriminalität

Operation Cronos stieß zunächst bei Forschern auf Skepsis, die darauf hinwiesen, dass andere kürzliche, aufsehenerregende Abschaltungen von RaaS-Gruppen wie Black Basta, Conti, Bienenstock, und Royal (ganz zu schweigen von der Infrastruktur für Erstzugriffstrojaner wie Emotet, Qakbot, und TrickBot) führten nur zu vorübergehenden Rückschlägen für ihre Betreiber.

Der LockBit-Angriff ist jedoch anders: Die schiere Menge an Informationen, auf die die Strafverfolgungsbehörden zugreifen und die sie veröffentlichen konnten, hat dem Ansehen der Gruppe in Dark-Web-Kreisen nachhaltig geschadet.

„Während sie sich häufig auf die Zerstörung der Befehls- und Kontrollinfrastruktur konzentrieren, gingen diese Bemühungen darüber hinaus“, erklärten Trend Micro-Forscher in Eine heute veröffentlichte Analyse. „Der Polizei gelang es, das Admin-Panel von LockBit zu kompromittieren, Partner zu entlarven und auf Informationen und Gespräche zwischen Partnern und Opfern zuzugreifen. Diese kumulativen Bemühungen haben dazu beigetragen, den Ruf von LockBit bei Partnern und der Cybercrime-Community im Allgemeinen zu schädigen, was es schwieriger machen wird, sich davon zu befreien.“

Laut Trend Micro kam es in der Tat schnell zu den Folgen der Cyberkriminalität. Für eine, LockBitSupp wurde gesperrt aus zwei beliebten Untergrundforen, XSS und Exploit, was die Fähigkeit des Administrators beeinträchtigt, Unterstützung zu erhalten und den Wiederaufbau durchzuführen.

Kurz darauf behauptete ein Benutzer auf Ein Initial-Access-Broker mit dem Pseudonym „dealfixer“ bewarb seine Produkte, erwähnte jedoch ausdrücklich, dass er mit niemandem von LockBit zusammenarbeiten wollte. Und ein weiterer IAB, „n30n“, reichte im ramp_v2-Forum eine Klage wegen Zahlungsausfällen im Zusammenhang mit der Störung ein.

Vielleicht noch schlimmer: Einige Forumskommentatoren waren äußerst besorgt über die schiere Menge an Informationen, die die Polizei zusammentragen konnte, und einige spekulierten, dass LockBitSupp bei der Operation möglicherweise sogar mit den Strafverfolgungsbehörden zusammengearbeitet hat. LockBitSupp gab schnell bekannt, dass eine Schwachstelle in PHP dafür verantwortlich sei, dass die Strafverfolgungsbehörden die Informationen der Bande infiltrieren könnten; Dark-Web-Bewohner wiesen lediglich darauf hin, dass der Fehler Monate alt sei, und kritisierten die Sicherheitspraktiken von LockBit und den mangelnden Schutz für Partner.

„Die Stimmung der Cybercrime-Community gegenüber der Störung durch LockBit reichte von Zufriedenheit bis hin zu Spekulationen über die Zukunft der Gruppe und deutete auf die erheblichen Auswirkungen des Vorfalls auf die RaaS-Branche hin“, heißt es in der heute veröffentlichten Analyse von Trend Micro.

Die abschreckende Wirkung der LockBit-Störung auf die RaaS-Branche

Tatsächlich hat die Störung bei anderen aktiven RaaS-Gruppen zu einer gewissen Selbstreflexion geführt: Ein Snatch-RaaS-Betreiber wies auf seinem Telegram-Kanal darauf hin, dass sie alle gefährdet seien.

„Die Störung und Untergrabung des Geschäftsmodells scheint eine weitaus stärkere kumulative Wirkung gehabt zu haben als die Durchführung einer technischen Abschaltung“, so Trend Micro. „Reputation und Vertrauen sind der Schlüssel zur Gewinnung von Partnern, und wenn diese verloren gehen, ist es schwieriger, die Leute zur Rückkehr zu bewegen. Operation Cronos ist es gelungen, gegen ein Element ihres Geschäfts vorzugehen, das am wichtigsten war: ihre Marke.“

Jon Clay, Vice President Threat Intelligence bei Trend Micro, sagt gegenüber Dark Reading, dass die Entschlüsselung von LockBit und die abschreckende Wirkung der Störung auf RaaS-Gruppen im Allgemeinen eine Chance für das Geschäftsrisikomanagement darstellen.

„Dies kann für Unternehmen eine Zeit sein, ihre Verteidigungsmodelle zu überdenken, da wir möglicherweise eine Verlangsamung der Angriffe beobachten, während diese anderen Gruppen ihre eigene Betriebssicherheit bewerten“, stellt er fest. „Dies ist auch der Zeitpunkt, einen Reaktionsplan für Geschäftsvorfälle zu überprüfen, um sicherzustellen, dass alle Aspekte eines Verstoßes abgedeckt sind, einschließlich der Kontinuität des Geschäftsbetriebs, der Cyber-Versicherung und der Reaktion – zahlen oder nicht zahlen.“

Die Lebenszeichen von LockBit sind stark übertrieben

Laut Trend Micro versucht LockBitSupp dennoch, wieder auf die Beine zu kommen – allerdings mit wenigen positiven Ergebnissen.

Eine Woche nach der Operation wurden neue Tor-Leak-Sites gestartet, und LockBitSupp sagte im ramp_v2-Forum, dass die Bande aktiv nach IABs mit Zugriff auf .gov-, .edu- und .org-Domains suche, was auf Rachegelüste hindeutet. Es dauerte nicht lange, bis zahlreiche vermeintliche Opfer auf der Leak-Seite auftauchten, allen voran das FBI.

Als jedoch die Frist für die Lösegeldzahlung ablief, veröffentlichte LockBitSupp statt vertraulicher FBI-Daten auf der Website eine ausführliche Erklärung, dass das Unternehmen weiterarbeiten würde. Darüber hinaus handelte es sich bei mehr als zwei Dritteln der Opfer um erneut hochgeladene Angriffe, die vor der Operation Cronos stattfanden. Unter den anderen gehörten die Opfer anderen Gruppen an, beispielsweise ALPHV. Insgesamt ergab die Telemetrie von Trend Micro nach Cronos nur einen kleinen echten LockBit-Aktivitätscluster von einem Tochterunternehmen in Südostasien, das eine geringe Lösegeldforderung von 2,800 US-Dollar hatte.

Vielleicht noch besorgniserregender ist, dass die Gruppe auch eine neue Version von Ransomware entwickelt hat – Lockbit-NG-Dev. Trend Micro stellte fest, dass es über einen neuen .NET-Kern verfügt, der es plattformunabhängiger macht; Es entfernt auch die Fähigkeit zur Selbstverbreitung und die Möglichkeit, Lösegeldforderungen über die Drucker des Benutzers auszudrucken.

„Die Codebasis ist im Zusammenhang mit der Umstellung auf diese neue Sprache völlig neu, was bedeutet, dass wahrscheinlich neue Sicherheitsmuster erforderlich sein werden, um sie zu erkennen. Es handelt sich immer noch um eine funktionierende und leistungsstarke Ransomware“, warnten Forscher.

Dennoch sind dies bestenfalls schwache Lebenszeichen für LockBit, und Clay merkt an, dass unklar ist, wohin es oder seine Tochtergesellschaften als nächstes gehen könnten. Generell, warnt er, müssen die Verteidiger auf künftige Veränderungen in den Taktiken der Ransomware-Banden vorbereitet sein, da die Teilnehmer des Ökosystems den Stand der Dinge bewerten.

„RaaS-Gruppen suchen wahrscheinlich nach ihren eigenen Schwächen, die von den Strafverfolgungsbehörden aufgedeckt werden“, erklärt er. „Sie überprüfen möglicherweise, auf welche Arten von Unternehmen/Organisationen sie abzielen, um ihren Angriffen nicht viel Aufmerksamkeit zu schenken. Partner prüfen möglicherweise, wie sie schnell von einer Gruppe zur anderen wechseln können, falls ihre Haupt-RaaS-Gruppe geschlossen wird.“

Er fügt hinzu: „Die Verlagerung hin zur ausschließlichen Datenexfiltration anstelle von Ransomware-Einsätzen könnte zunehmen, da diese das Geschäft nicht stören, aber dennoch Gewinne ermöglichen können.“ Wir konnten auch beobachten, dass sich RaaS-Gruppen ganz in Richtung „ andere Angriffstypen, wie Business Email Compromise (BEC), die scheinbar nicht so viel Aufsehen erregen, aber dennoch sehr lukrativ für ihr Geschäftsergebnis sind.“

Zeitstempel:

Mehr von Dunkle Lektüre