Illustration Absmeier foto freepik

Als im Februar dieses Jahres die Meldung über die erfolgreiche Zerschlagung der Lockbit-Ransomware-Gruppe um die Welt ging, schien es, als wäre den internationalen Ermittlungsbehörden ein entscheidender Schlag gegen die Cyberkriminalität gelungen. Doch gerade einmal eine Woche später, Anfang März, meldete sich die gefährliche Hackergruppe auch schon wieder zurück: In einem Statement gab sie eigene Fehler zu und erklärte, weiterhin aktiv zu sein.

»In der Welt der Cyberkriminalität ist nichts sicher, und oft verschieben sich Gruppen oder tauchen unter neuen Namen und Taktiken wieder auf. Die Zerschlagung der Lockbit-Gruppe war zweifellos ein wichtiger Meilenstein im Kampf gegen Ransomware und die digitale Kriminalität. Allerdings ist es äußerst beunruhigend zu sehen, dass die Lockbit-Gruppe so schnell wieder aktiv geworden ist. Das schnelle Comeback der Gruppe verdeutlicht die Anpassungsfähigkeit und Entschlossenheit dieser kriminellen Organisation, ihre Aktivitäten fortzusetzen und weiterhin Schaden anzurichten. Lockbit bleibt weiterhin eine große Bedrohung für Unternehmen und Organisationen weltweit«, meint IT-Sicherheitsexpertin Patrycja Schrenk, Geschäftsführerin der PSW GROUP (www.psw-group.de).

Tatsächlich galt Lockbit lange Zeit als unangefochtener König der Ransomware: Fast ein Fünftel der weltweiten Ransomware-Angriffe gingen wohl auf das Konto der Hackergruppe. Dabei soll sie mehrere Millionen Dollar von tausenden Unternehmen sowie Einzelpersonen weltweit erbeutet haben – allein in den USA werden der Gruppe Angriffe auf mehr als 1700 Organisationen vorgeworfen. Lockbit hatte es dabei auf einige der größten Namen der Weltwirtschaft abgesehen: Unternehmen wie Boeing, der Chiphersteller TSMC, das Raumfahrtunternehmen SpaceX, die ICBC, Chinas größte Bank, sowie der deutsche Automobilzulieferer Continental zählten zu ihren prominentesten Opfern. »Was Lockbit besonders gefährlich macht, ist ihr ausgeklügeltes Geschäftsmodell, das einem Affiliate-Programm gleicht. Denn anstatt selbst die Angriffe durchzuführen, agiert Lockbit größtenteils als Dienstleister im Cybercrime-Umfeld. Die Gruppe stellt ihre Schadsoftware anderen Kriminellen zur Verfügung, die dann die Angriffe ausführen, mit den Opfern verhandeln und Lösegeld erpressen. Für diese Dienstleistung kassiert Lockbit eine Art Lizenzgebühr – mit einem derart großen Erfolg, dass die Schadsoftware der Gruppe im Jahr 2022 sogar als weltweit am häufigsten eingesetzte Ransomware-Variante bezeichnet wurde«, informiert Schrenk.

Die erfolgreiche Cybercrime-Gruppe ging den Strafverfolgungsbehörden Anfang des Jahres ins Netz, weil diese offenbar ausgerechnet eine nicht gepatchte Schwachstelle in der Skriptsprache PHP ausnutzen konnten – normalerweise sind ungepatchte IT-Sicherheitslücken das Geschäftsmodell von Lockbit. Doch trotz der Beschlagnahmung von 34 Servern und Festnahmen im Rahmen der »Operation Cronos« konnten die Behörden nicht alle Domains von Lockbit übernehmen: Die Gruppe meldet sich mit ihrer Website unter neuer Adresse und einer Mischung aus Selbstkritik und Arroganz zurück. In einem Statement Anfang März geben sie zu, dass ihre eigenen Systeme nicht auf dem neuesten Stand waren, weil sie »faul« geworden seien und sich in einer gewissen Selbstzufriedenheit eingerichtet hätten: »Persönliche Fahrlässigkeit und Verantwortungslosigkeit« habe es den Behörden erlaubt, die Website der Gruppe zu kapern. Weiter behauptete die Gruppe, dass ihre Server wiederhergestellt und sie bereit sei, erneut zuzuschlagen. Ihre Affiliates forderte sie bereits auf, staatliche Einrichtungen häufiger ins Visier zu nehmen.

»Diese Aussagen lassen aufhorchen und warnen auch vor einer möglichen Eskalation der Cyberangriffe. Gleichzeitig macht die Reaktion der Gruppe klar, dass der Kampf gegen Cyberkriminalität eine kontinuierliche und koordinierte Anstrengung erfordert – sowohl seitens der Strafverfolgungsbehörden als auch von Unternehmen und jedem Einzelnem. Die Zerschlagung der Cyberkriminellen ist ein wichtiger Schritt, aber wir dürfen nicht den Fehler machen, dies als das Ende des Problems anzusehen. Wir müssen weiterhin in die Verteidigung unserer digitalen Infrastrukturen investieren, unsere Cyber-Sicherheitsmaßnahmen verbessern und unsere Fähigkeit zur Erkennung und Reaktion auf Bedrohungen ständig weiterentwickeln, um mit der sich ständig verändernden Landschaft der Cyberkriminalität Schritt zu halten«, so Patrycja Schrenk.

Weitere Informationen unter: https://www.psw-group.de/blog/die-lockbit-ransomware-gruppe-zerschlagen-oder-doch-nicht/10989

1653 Artikel zu „Ransomware „

AUSGABE 1-2-2024 | SECURITY SPEZIAL 1-2-2024 | NEWS | IT-SECURITY

Ransomware Reinfection: Wie sich Unternehmen bestmöglich schützen – Die Bedrohung aus dem Off

10. März 2024

Cyberkriminellen steht heute eine breite Auswahl an Angriffsmethoden zur Verfügung. Eine davon, Ransomware, hat im vergangenen Jahr einen beispiellosen Aufschwung erlebt. Allein von Juli 2022 bis Juni 2023 konnte Malwarebytes in Deutschland 124 Ransomware-Angriffe auf Unternehmen verzeichnen. Und selbst Unternehmen, die sich bereits bestmöglich vor solchen Angriffen schützen, unterschätzen oftmals noch einen damit verbundenen, nicht weniger gefährlichen Aspekt: Ransomware Reinfection.