Es sind spannende Enthüllungen und explosive Feststellungen, die der IT-Sicherheitsforscher Jon DiMaggio in einem aktuellen Bericht macht: Dem Amerikaner ist es gelungen, eine der weltweit gefährlichsten Ransomware-Banden zu infiltrieren. Gemeint ist LockBit – eine kriminelle Vereinigung, deren Anführer mutmasslich in Russland sitzt.
Auch in der Schweiz haben die Hacker seit Anfang Jahr bereits wiederholt zugeschlagen. Und letzte Woche sorgte LockBit mit einer Attacke auf Royal Mail für Schlagzeilen: Der grösste Postzustelldienst Grossbritanniens, der zur kritischen Infrastruktur zählt, wurde schwer getroffen. Das Unternehmen musste den internationalen Versand einstellen, erlitt einen Image-Schaden und hat noch weit grössere Kosten zu befürchten, sollte es nicht gelingen, die IT-Systeme zeitnah zu «retten».
Doch wer sind die Hacker, die gnadenlos zuschlagen und mit ihren Angriffen auch nicht vor Spitälern und anderen besonders schützenswerten Einrichtungen haltmachen?
Am Montag veröffentlichte DiMaggio den ersten Teil seiner umfangreichen Recherchen zu LockBit und sorgte damit über die IT-Sicherheitsbranche hinaus für Aufsehen. watson fasst die wichtigsten Erkenntnisse zusammen.
LockBit ist in der Welt der Internet-Erpresser an die Spitze aufgestiegen. Im letzten Jahr war die Gruppe für 44 Prozent aller publik gemachten Ransomware-Angriffe verantwortlich.
Dieser ungeheure Erfolg hängt offenbar massgeblich mit der fortschreitenden Professionalisierung zusammen. Der Chef der Bande hat erreicht, dass LockBit fast wie ein normales Unternehmen funktioniert. Es betreibt eine eigene Software-Entwicklungsabteilung und liefert sich mit anderen Banden einen Wettstreit um die schlausten Köpfe.
Der IT-Sicherheitsforscher schreibt, er habe viel Zeit in kriminellen Darknet-Foren und privaten Chatgruppen verbracht, die von Ransomware-Kriminellen genutzt wurden. So sammelte er Insiderwissen über die LockBit-Gang selbst.
Was DiMaggios Recherchen bewirken werden, ist offen. Er weist in seinem ausführlichen, lesenswerten Bericht (siehe Quellen) unter anderem auf einen abtrünnigen Programmierer hin, der sich mit der LockBit-Führung zerstritt und eine wertvolle Quelle für jede Ermittlungsbehörde wäre.
Seine Beziehung zu LockBit und dessen Anführer begann mit einem gescheiterten Vorstellungsgespräch. Das war 2020 und die Bande suchte Programmierer und Geschäftspartner, sogenannte Affiliates, die in fremde Netzwerke eindringen und die Server der Opfer mit Malware infizieren.
Der US-Amerikaner, der nicht Russisch spricht, bewarb sich auf eine entsprechende (englische) Stellenausschreibung in einem russischen Darknet-Forum. Er habe allerdings nicht damit gerechnet, in diesem Prozess sehr weit zu kommen. «Ich bin kein Hacker», räumt DiMaggio ein.
Trotzdem habe er es in ein virtuelles Vorstellungsgespräch und bis zum LockBit-Einstufungstest geschafft. Damit soll herausgefunden werden, ob Bewerber wirklich die Programmierkünste beherrschen, wie sie behaupten, oder ob es sich um «Skript-Kiddies» handelt, die zu wenig können.
DiMaggio erzählt:
TOX ist ein verschlüsselter Messaging-Dienst, den viele Cyberkriminelle für den sicheren Austausch bevorzugen. Ein Grossteil der weltweiten Ransomware-Verhandlungen findet gemäss den Schilderungen DiMaggios in TOX statt.
Und nun konnte er also im TOX-Kanal von LockBit den Cyberkriminellen quasi live bei der Arbeit zuschauen.
Damit nicht genug, gelang es dem Sicherheitsforscher, in einen privaten Kanal der Gruppe vorzudringen, indem er dem gewaltigen Ego des LockBit-Anführers schmeichelte.
Zu diesem Bandenchef, der online unter dem Pseudonym «LockBitSupp» chattet, meint DiMaggio:
Bekanntlich kooperieren Ransomware-Banden mit Subunternehmen oder Partnern («Affiliates»). Dabei handelt es sich um spezialisierte Personen, die möglicherweise besonders gut darin sind, nach IT-Schwachstellen zu suchen oder bestimmte Arten von Netzwerken zu knacken. Oder sie verfügen über Insider-Informationen zu potenziellen Opfern.
Sicher ist: Ohne solche «Partner in Crime» würden nicht dermassen viele Ransomware-Attacken stattfinden.
Hier stellt sich aber auch die grösste Herausforderung aus Sicht der Kriminellen: Wie lässt sich gewährleisten, dass alle Beteiligten ihren Anteil an der Beute erhalten?
Also habe der LockBit-Anführer «das Drehbuch» gewechselt und den Partnern die Verantwortung übertragen.
Seither führen die Partner selbst die Angriffe aus, wobei sie die LockBit-Infrastruktur nutzen, dann verhandeln sie selbstständig mit den Opfern – natürlich über das Chat-System von LockBit – und kassieren das Lösegeld. Am Ende erhalte LockBit einen prozentualen Anteil der erpressten Summe.
Nachdem dieses für die Ransomware-Community neue Vorgehen eingeführt war und LockBit seine eigene Software aktualisiert und benutzerfreundlich gestaltet hatte, rannten interessierte Partner der Bande die Tür ein, so DiMaggio.
Die über das Darknet zugängliche LockBit-Software ermögliche es, Ransomware-Angriffe äusserst schnell und effizient durchzuführen. Dafür sei weitaus weniger technisches Fachwissen erforderlich als jemals zuvor. Es handle sich um eine einfach zu bedienende «Angriffskonsole», die für die kriminellen Partner von LockBit sehr viele Optionen biete.
Auf der über die Anonymisierungs-Software Tor zugänglichen Leak-Site versucht die LockBit-Bande derweil, interessierte Kriminelle für das Partnerprogramm zu gewinnen.
Dort heisst es:
Der Bericht von DiMaggio enthält unglaublich viele Details, aber auch aufschlussreiche Schlussfolgerungen. Im Folgenden werden einige der wichtigsten Punkte wiedergegeben:
Die Person, die die LockBit-Ransomware-Operation leite, verwende häufig das Online-Pseudonym «LockBitSupp». Sie zeige narzisstische Züge und versuche, mit spektakulären Aktionen ein ständig wachsendes Ego zu nähren.
Nachdem DiMaggio über ein Jahr damit verbracht hatte, in Chatrooms zu lauschen, Fragen zu stellen und die Interaktionen zwischen LockBitSupp und anderen in der Ransomware-Community zu beobachten, glaubt er Folgendes über den mutmasslichen Anführer der Bande zu wissen:
Laut DiMaggio sieht sich der LockBit-Anführer «als Prinz der Dunkelheit, wie ein Batman-Bösewicht», der darauf aus sei, Zerstörung zu säen. Deshalb eskaliere er immer.
Die Sache mit sogenannten Superschurken sei allerdings, dass sie im Grunde persönliche Probleme hätten. Bei all ihrer Tapferkeit seien sie unsicher. Und der LockBit-Anführer sei – vielleicht weniger überraschend – «super paranoid».
Und wegen all dem scheine er – trotz des vielen Geldes, das sein illegales Tun einbringt – nicht glücklich zu sein.
Der LockBit-Anführer sage, er speichere alle sensiblen Daten zu den kriminellen Aktionen auf zwei Datenträgern. Diese Laufwerke würden getrennt voneinander gelagert, um zu verhindern, dass sich jemand Zugang verschaffe.
Zum einen trage er einen Flash-Speicher-Stick an einer Halskette und sei bereit, diesen Datenträger sofort zu zerstören. Der andere SSD-Speicher werde an einem nicht näher bekannten, «entfernten» Ort sicher aufbewahrt.
In den letzten Monaten hat es laut DiMaggio in der Ransomware-Community eine zunehmend negative Stimmung gegenüber LockBitSupp gegeben. Die Abneigung rührt von seinen arroganten Kommentaren in kriminellen Untergrund-Foren und von fragwürdigen Medieninterviews her.
Viele Kriminelle verurteilten das auffällige Gebaren des LockBit-Anführers, der damit Partner anwerben wolle. Darüber hinaus hätten viele die aufsehenerregenden Werbegags satt, wie etwa das Bezahlen für LockBit-Tätowierungen.
Tatsächlich boten die LockBit-Verantwortlichen in Untergrund-Foren bis zu 1000 Dollar für solche «Kunstwerke». Zahlreiche auf Social-Media-Plattformen verbreitete Fotos belegten, dass es Männer und Frauen gab, die sich das rot-weiss-schwarze Retro-Logo der Bande in die Haut stechen liessen.
Andere Ransomware-Banden, die einst eine führende Position innehatten, wie Maze, REvil und Conti, seien schliesslich alle gestürzt. Den Akteuren sei gemeinsam, dass ihre Egos ausser Kontrolle gerieten und ihre Gier sie ins Verderben trieb.
Unabhängig davon erachtet es DiMaggio als unwahrscheinlich, dass der LockBit-Anführer jemals verhaftet werde oder Zeit in einer Gefängniszelle verbringe.
In Wirklichkeit sei dessen grösste Sorge, dass ihn die eigene Regierung finde, sein Kryptowährungs-Vermögen beschlagnahme und die Bande dazu zwinge, die militärischen oder staatlichen Cyber-Operationen zu unterstützen.
Dies könnte ein Grund dafür sein, weshalb der LockBit-Anführer behaupte, gar nicht mehr in Russland ansässig zu sein. Im Laufe von DiMaggios Nachforschungen habe er davon gesprochen, in China, den Niederlanden, Hongkong und sogar in den USA zu leben. Das dürften aber alles Ablenkungsmanöver gewesen sein. Der Ort, über den er am wenigsten sprach, nämlich Russland, sei höchstwahrscheinlich sein heutiger Aufenthaltsort.
Das Problem: Die Kriminellen seien geschützt und für die Strafverfolgungsbehörden unerreichbar, es sei denn, sie verliessen Russland und würden in einem Land gefasst, das die Auslieferung an die Vereinigten Staaten erlaube.
DiMaggio vertritt deshalb die Haltung, dass es ein viel aggressiveres Vorgehen der westlichen Staaten braucht. Und zwar gegen LockBit und weitere russische Banden, die sich auf «Ransomware as a Service» (RaaS) spezialisiert haben.
Ziel müsste es sein, dass die Kriminellen das Vertrauen in einen RaaS-Anbieter verlieren und in der Folge nicht mehr für ihn arbeiten, argumentiert der Sicherheitsforscher.
Zum Schluss seines Berichts hält DiMaggio fest:
Was hältst du von DiMaggios Vorschlag, das Geschäft der Ransomware-Banden mit Desinformations-Kampagnen zu stören und ihre kriminellen Partner zu verunsichern? Welche anderen Mittel erachtest du als sinnvoll und tauglich?
Schreib uns via Kommentarfunktion!
Wenn Firmen endlich genug Geld in Ihre IT Infrastruktur stecken würden und bekannte Sicherheitslücken zeitnah patchen, dann wären viele dieser Ransomware Angriffe nicht möglich. IT Sicherheit ist nicht nur ein Kostenfaktor, sondern wichtig um Schäden durch Cyberkriminelle zu verhindern. Erste Versicherungen ziehen schon die Notbremse:
https://www.golem.de/news/versicherungsgesellschaft-cyberangriffe-bald-nicht-mehr-versicherbar-2212-170752.html