NEUIGKEITEN:
Menlo Security kündigt strategische Partnerschaft mit Google an
Erfahre mehr
Icon Rounded Closed - BRIX Templates

Takedown-Versuch und Widerstandsfähigkeit von Lockbit: Einblick in die Operation Cronos

Xen Madden and Ngoc Bui
|
March 19, 2024

Lockbit wurde ursprünglich 2019 gegründet und fungiert als Ransomware-as-a-Service, was bedeutet, dass Kriminelle ihnen eine Kaution für die Verwendung ihrer Malware zahlen können und sich dann, wenn dies gelingt, das von den Opfern gezahlte Lösegeld teilen.

In einem ehrgeizigen Versuch, eine der berüchtigtsten Ransomware-Gruppen zu bekämpfen, leitete die britische National Crime Agency (NCA) die Operation Cronos, die auf die Lockbit-Ransomware-Bande abzielte. Diese Operation, ein wichtiger Schritt im laufenden Kampf gegen Cyberkriminalität, zielte darauf ab, die Infrastruktur der Lockbit-Bande zu zerschlagen, die für ihre weit verbreiteten und schädlichen Angriffe bekannt ist.

Operation Cronos: Ein kurzer Überblick

Operation Cronos sah, wie die NCA erfolgreich die Server von Lockbit infiltrierte und die Kontrolle über ihre Darknet-Leak-Site übernahm. Dieser Schritt sollte den Betrieb der Ransomware-Gruppe stören, die für zahlreiche Cyberangriffe auf der ganzen Welt verantwortlich war. Der Höhepunkt der Operation wurde am 20. Februar erreicht, einen Tag, nachdem Lockbit Anomalien in ihren Systemen bemerkte, was die Wirksamkeit der Maßnahmen der Task Force signalisierte.

Antwort von Lockbit

Trotz des Rückschlags reagierte Lockbit schnell. Über ihren Blog und ihren Telegram-Kanal veröffentlichten sie mehrere Stellungnahmen, in denen sie die Widerstandsfähigkeit ihrer Geschäftstätigkeit hervorhoben:

  • Die Beteiligung des FBI an der Operation erstreckte sich nicht auf ihren Backup-Speicher oder ihre Konten.
  • Lockbit schaffte es, alle betroffenen Systeme innerhalb von fünf Tagen wiederherzustellen, was ihre Einsatzbereitschaft und ihre robusten Wiederherstellungsprotokolle unter Beweis stellte.
  • Nur eine Woche nach dem Vorfall erklärte Lockbit, dass sich ihr Betrieb wieder „normalisiert“ habe und die verbundenen Unternehmen weiterhin Angriffe starten und wie gewohnt weitermachen.
  • Einige Behauptungen zu X (03/02/2024) geben an, dass Lockbit alte Opfer erneut veröffentlicht, aber diese Behauptung wurde nicht bestätigt.
    • 13.03.2024 - Immer mehr Behauptungen tauchen auf, dass LockBit angeblich alte Opfer auf ihrer Leckseite aus unbekannten Gründen gemeldet hat, was zu negativem Geschwätz in der Community über diese angeblichen Aktionen geführt hat.
  • Die Gruppe hat ihre Bemühungen, mehr Kunden zu gewinnen, intensiviert, ohne sich von den jüngsten Strafverfolgungsmaßnahmen abschrecken zu lassen.
  • Lockbit behauptet, Informanten in verschiedenen Kreisen zu haben, die es ihnen ermöglichen, Bedrohungen einen Schritt voraus zu sein und ihren Betrieb aufrechtzuerhalten.
  • Trotz der Operation Cronos sind Lockbit-Infektionen weiterhin eine dominierende Kraft in der Bedrohungslandschaft der Cybersicherheit.
  • Sie behaupteten auch, dass die Aktionen des FBI teilweise durch den Wunsch motiviert waren, die Gruppe daran zu hindern, Informationen zu veröffentlichen, die sie angeblich über Donald Trump besitzen.
  • Lockbit hat am 03.03.2024 ein Gerichtsdokument im Zusammenhang mit der Operation Cronos veröffentlicht, in dem einige in diesem Dokument angesprochenen Punkte besprochen wurden. Es ist unklar, ob dieses Dokument öffentlich zugänglich sein sollte.
screenshot of document describing what happened

In einem mutigen Schritt, um ihren Trotz zu demonstrieren, lud ein Lockbit-Mitglied eine „Sprachnotiz“ hoch, um zu signalisieren, dass sich die Gruppe von den Bemühungen des FBI nicht einschüchtern ließ. Sie posteten in ihrem Blog auch eine kleine Antwort auf die Behauptungen der LEA gegenüber der Gruppe.

screenshot listing LockbitSupp's claims

Anfang dieses Jahres veröffentlichte LockBit ein Foto eines jungen Mannes, von dem sie behaupten, dass er nach Ansicht der US-Geheimdienste mit ihrer Gruppe in Verbindung steht.

In einer kühnen Erwiderung erklärte ein LockBit-Mitglied, dass es den fraglichen Mann weder gesehen noch von ihm gehört habe, fügte aber humorvoll hinzu, dass sie, sollten sie auf Informationen über ihn stoßen, nicht zögern würden, die vom US-Geheimdienst für solche Informationen angebotene Belohnung in Anspruch zu nehmen. Dieser Vorfall unterstreicht die Unverschämtheit von LockBit und ihre Absicht, die Versuche der Strafverfolgungsbehörden, in ihre Operationen einzudringen, öffentlich anzufechten und lächerlich zu machen.

Das Foto unten ist ein Stockbild mit Fotos, das Modell scheint für DGL Images zu funktionieren. Wir haben mehr als 200 Websites gefunden, die dieses Bild verwenden, was darauf hindeutet, dass es sich um eine falsche Geschichte handelt, um die Bemühungen des US-Geheimdienstes zu untergraben.

screenshot of photo of man with commentary from Lockbit

Die schnelle Wiederherstellung von LockBit, die Berichten zufolge nach einem Angriff fünf Tage brauchte, um ihren Betrieb wiederherzustellen, ist ein Beweis für ihre operative Reife. Diese Fähigkeit, sich schnell zu erholen, weist auf mehrere wichtige Aspekte der organisatorischen Widerstandsfähigkeit von LockBit hin:

Strategische Redundanz:

Durch die Verwaltung von mehr als einem Backup-Standort demonstriert LockBit eine gut durchdachte Strategie für Datenredundanz. Dies minimiert nicht nur die Ausfallzeiten im Falle eines Angriffs oder einer Beschlagnahme, sondern stellt auch sicher, dass wichtige Daten und Infrastrukturen schnell wiederhergestellt werden können.

Fortgeschrittene Planung:

Die Existenz möglicher Aufführungsorte unterstreicht die Weitsicht von LockBit bei der Planung von Eventualitäten. Staging-Standorte können als Ausgangspunkt für die schnelle Wiederherstellung des Betriebs dienen, was darauf hindeutet, dass LockBit Zeit und Ressourcen in die Entwicklung eines robusten Wiederherstellungsprozesses investiert hat.

Operative Belastbarkeit:

Die Fähigkeit, sich von Störungen schnell zu erholen, ist ein Kennzeichen für betriebliche Reife. Es zeugt von einem hohen Maß an Widerstandsfähigkeit und verfügt über etablierte Verfahren und Ressourcen, um wirksam auf Zwischenfälle zu reagieren.

Technisches Fachwissen:

Die technischen Fähigkeiten, die für eine so schnelle Wiederherstellung erforderlich sind, sind beträchtlich. Es deutet darauf hin, dass LockBit nicht nur über das technische Know-how, sondern auch über die Betriebsdisziplin verfügt, um ihre Ressourcen effektiv zu verwalten.

Verpflichtung zur Kontinuität:

Die Bemühungen, eine minimale Betriebsunterbrechung sicherzustellen, zeigen das Engagement von LockBit, ihre Aktivitäten und Beziehungen zu verbundenen Unternehmen aufrechtzuerhalten. Dies unterstreicht die Bedeutung, die sie der Geschäftskontinuität beimessen, auch angesichts von Strafverfolgungsmaßnahmen.

Die schnelle Wiederherstellung von LockBit nach der Operation Cronos zeigt ihre operative Reife, Einsatzbereitschaft und Widerstandsfähigkeit. Es signalisiert der Cybersicherheits-Community, dass LockBit ein ausgeklügelter und gut organisierter Gegner ist, der in der Lage ist, seinen Betrieb trotz erheblichem externen Druck aufrechtzuerhalten.

screenshots of direct messages

Analyse der betrieblichen Erkenntnisse von Lockbit

Eine genauere Untersuchung der Kommunikation und Aktivitäten von Lockbit liefert mehrere wichtige Einblicke in ihre Geschäftstätigkeit:

  • 2-3 Personen scheinen den Hauptkanal von Telegram zu verwalten, was auf ein kleines, aber effizientes PR-Team hindeutet.
  • Lockbit nutzt Cloud-basierte Dateispeicherkonten und Arbeitsbereiche auf mindestens zwei Plattformen und bezahlt für diese Dienste, um ihren Betrieb zu unterstützen.
  • LockBit-Mitglieder haben durch Beiträge, in denen sie persönliche Mitteilungen in mehreren verschiedenen Sprachen geteilt haben, einen Einblick in ihre Vielfalt gegeben.
  • Die Vorliebe der Lockbit-Mitglieder für Windows-Computer ist offensichtlich. Ein Bild zeigt eine Demo-VM, die wahrscheinlich auch für Operationen verwendet wird.
  • Die Verwendung von Dual-SIM-Karten und einem VPN auf seinem iPhone durch ein Mitglied deutet auf ausgeklügelte Maßnahmen hin, die ergriffen wurden, um Anonymität und Sicherheit zu wahren.
  • Lockbit hat Bilder ihrer Benutzeroberfläche zum Erstellen von Konfigurationsdateien geteilt. Sehen Sie sich die Aufschlüsselung der Konfigurationsdatei an hier.
screenshot of lockbit black builder
detail screenshot of builder
  • Ein gepostetes Video zeigte eine E-Mail, die für ein XSS-Forum verwendet wurde.
    • Wir analysieren die Informationen, die in durchgesickerten Datenbanken gefunden wurden, um zu bestätigen, dass sie möglicherweise mit dieser E-Mail verknüpft sind.
    • Diese Zurschaustellung einer E-Mail-Adresse trägt ebenfalls zu ihrem Selbstvertrauen bei.
  • Einige geteilte Beiträge verknüpfen sie mit anderen Foren und Chat-Anwendungen für Cyberkriminalität, die über die häufig gemeldeten hinausgehen.
screenshot of Black Hat Chat

Lockbit-Gemeinschaft

LockBit hat eine bedeutende und dauerhafte Präsenz im Dark and Deep Web aufgebaut und eine Pseudo-Community gefördert, die sich um seine Marke schart. Einige Unterstützer haben sich aus Treue sogar das LockBit-Logo auf ihren Körper tätowiert.

Das PR-Team von Lockbit beteiligt sich aktiv an Diskussionen über aktuelle Ereignisse, denkt über den Niedergang konkurrierender Unternehmen wie Conti nach und nimmt am Austausch mit Verbündeten und Gegnern teil. Diese bewusst gepflegte Community trägt zweifellos dazu bei, dass LockBit nicht nur treue Partner, sondern auch Informanten und Kooperationsmöglichkeiten mit anderen Bedrohungsgruppen und Ransomware-Banden sichern kann.

Sie haben zwar eine große Fangemeinde, aber einige nutzten die Gelegenheit, um die Ransomware-Bande zu trollen.

Forum post from "FBI" in response to LockBitSupp

Wir sehen zwar, dass Lockbitsupp kürzlich mit Sperren mehrerer Darkwebsites konfrontiert wurde, darunter eine wegen eines Zahlungsstreits, in dem ein Bedrohungsakteur seinen ersten Zugang zu einem Netzwerk an Lockbit „verkauft“ hat, aber ihre Beliebtheit und Aktivitäten zeigen keine Anzeichen eines Rückgangs. In einem speziellen Fall von Ende Januar 2024 soll Lockbit es versäumt haben, ein Lösegeld zu zahlen, nachdem das Opfer bereits bezahlt hatte, was darauf hindeutet, dass das Unternehmen seine Popularität oder seine Possen nicht zu bremsen scheint.

Screenshot of message showing LockBitSupp as banned from forum by admin

Was heißt das?

Die Geschichte von Lockbits Begegnung mit der Operation Cronos wirft ein Schlaglicht auf die Widerstandsfähigkeit großer Bedrohungsgruppen angesichts der Bemühungen der Strafverfolgungsbehörden. Trotz erheblicher Maßnahmen der NCA und ihrer Partner verdeutlichen die schnelle Erholung und der fortgesetzte Betrieb von Lockbit die Herausforderungen bei der Bekämpfung der Cyberkriminalität. Dieser Vorfall unterstreicht nicht nur die Raffinesse und Bereitschaft von Ransomware-Gruppen wie Lockbit, sondern auch die Notwendigkeit kontinuierlicher Wachsamkeit und Innovation bei Cybersicherheitsstrategien, um solchen Bedrohungen wirksam begegnen zu können.

Blog-Kategorie
Bedrohungstrends und Forschung
,
Verschlagwortet
Menlo Labs
,
Ransomware
,
Bedrohungstrends
,
linkedin logotwitter/x logofacebook logoSocial share icon via eMail
Ready to transform your browsers into Secure Enterprise Browsers? We’re ready to show you how.
Get demo

Explore related blog posts

Die betrogenene Blackcat-Tochtergesellschaft will Geld von Change Healthcare Lösegeld

March 6, 2024

Wie sich GenAI-Risiken weiterhin auf die Sicherheitslage auswirken

February 14, 2024

RaaS-Kits werden 2024 ein Problem sein

January 11, 2024

Machen Sie den sicheren Weg zur Arbeit zum einzigen Weg zur Arbeit.

Um mit einem Menlo Security-Experten zu sprechen, füllen Sie bitte das Formular aus.