Das Vorgehen der Strafverfolgungsbehörden gegen Ransomware-Gruppen zeigt zwar Wirkung, doch die Hackerbande LockBit steht vor einem Comeback. | The law enforcement crackdown on ransomware groups is working, but the LockBit gang is on the verge of a comeback. |
Wer einmal zahlt, den suchen die Erpresser immer wieder heim. Der neue WithSecure-Report „Ransomware Landscape H1/2024“ zeigt, dass die Aktivitäten von Ransomware-Banden nach ihrem Höhepunkt Ende 2023 nicht stark zugenommen haben. Dennoch haben die Häufigkeit der Angriffe und die Höhe der eingenommenen Lösegelder im ersten Halbjahr 2024 im Vergleich zu den gleichen Zeiträumen der beiden Vorjahre weiter verstärkt. „Es gibt eine deutliche Verschiebung hin zu kleinen und mittleren Unternehmen, die nun einen größeren Anteil der Ransomware-Opfer ausmachen“, sagt Tim West, Director of Threat Intelligence and Outreach bei WithSecure. Es ist klar, dass Strafverfolgungsmaßnahmen, insbesondere die Zerschlagung der LockBit Ransomware-Bande im Februar 2024, eine entscheidende Rolle bei der Unterbrechung großer Ransomware-Operationen gespielt haben. Diese Bemühungen führten zur Beschlagnahmung erheblicher Vermögenswerte und zur Zerstörung kritischer Infrastrukturen auf Seiten der Ransomware-Banden. Am 20. Februar 2024 veröffentlichte die internationale Strafverfolgungsbehörde LEA (Law Enforcement Agency) unter dem Codenamen Operation Cronos einen Beschlagnahmebefehl für den Standort des Lockbit-Lecks. Insbesondere im Juni 2024 gibt es jedoch Anzeichen dafür, dass sich Lockbit in einer Wiederaufbauphase befindet. Forscher haben festgestellt, dass sich die Erpressungsinfrastruktur in einem Zustand des Wandels befindet: Domains werden verschoben, verschiedene Technologien zum Aufbau der Dienste verwendet und Testopfer hinzugefügt. Obwohl Lockbit seit der LEA-Aktion wenig aktiv war, ist es fast sicher, dass Lockbit daran arbeitet, seine Operationen zu konsolidieren und wieder in Betrieb zu nehmen. Zum Zeitpunkt der Erstellung dieses Berichts sind die Strafverfolgungsbehörden weiterhin damit beschäftigt, den Lockbit-Mitgliedern reale Identitäten zuzuordnen. Diese Arbeit ist von großer Bedeutung, da sie die operative Sicherheit der Ransomware-Akteure und die Fähigkeit westlicher Behörden, den Schleier der Geheimhaltung zu durchdringen, auf die Probe stellen wird. Wenn dies gelingt, wird die Demonstration dieser Fähigkeit, insbesondere durch offensive Techniken, wahrscheinlich eine starke Abschreckung für Ransomware-Akteure darstellen, insbesondere für diejenigen, die in einer Region mit Strafverfolgungsbehörden operieren, die bereit sind, mit der EU oder den USA zusammenzuarbeiten. Die identifizierten Lockbit-Hacker sind jedoch allesamt Russen, und es gab bisher keine Verhaftungen, da die russischen Strafverfolgungsbehörden offensichtlich einen Deal mit den Hackern eingegangen sind. Trotz dieser Unterbrechungen bleiben die langfristigen Auswirkungen der Strafverfolgung auf das Ransomware-Ökosystem ungewiss, da sich die Gruppen in der Regel anpassen und weiterentwickeln. Der Bericht zeigt insbesondere für den Zeitraum seit Juni 2024 vermehrt Hinweise auf eine Transformationsphase bei LockBit. Die Autoren kommen zu dem Schluss, dass LockBit mit hoher Wahrscheinlichkeit beabsichtigt, mit einem robusteren Betriebsmodell in die Branche zurückzukehren. Der Bericht untersucht die Architektur von Ransomware-as-a-Service (RaaS)-Kollektiven und hebt den zunehmenden Wettbewerb zwischen Ransomware-Franchises hervor, um Partner zu gewinnen. Nach dem Niedergang bekannter Gruppen wie LockBit und ALPHV haben sich viele neue „nomadische“ Ransomware-Affiliates mit etablierteren RaaS-Marken zusammengeschlossen. „Das Vertrauen innerhalb der Cyberkriminellen-Community dürfte durch Vorfälle wie den mutmaßlichen ALPHV-Exit-Scam, bei dem Partner um ihre Einnahmen betrogen wurden, erheblich geschwächt worden sein. Das macht die Dynamik innerhalb des Ransomware-Ökosystems noch komplizierter“, so West. Ein bemerkenswerter Trend, der festgestellt wurde, ist die zunehmende Nutzung von Erstzugriff über die Ausnutzung von Edge-Diensten, wie in früheren WithSecure-Studien beschrieben, sowie die häufige Nutzung von Remote-Management-Tools durch Ransomware-Akteure. Der Bericht geht auch auf das anhaltende Problem der Reinfektion ein. Ein Ergebnis: Die Daten zeigen, dass ein erheblicher Prozentsatz der Unternehmen, die Lösegeld gezahlt haben, später erneut von denselben oder anderen Ransomware-Gruppen angegriffen wurde. | Once you pay, the extortionists keep coming back. The new WithSecure report „Ransomware Landscape H1/2024“ shows that ransomware gang activity has not increased significantly since its peak at the end of 2023. However, the frequency of attacks and the amount of ransom collected have continued to increase in the first half of 2024 compared to the same periods in the previous two years. „There is a clear shift towards small and medium-sized businesses, which now make up a larger proportion of ransomware victims,“ said Tim West, director of threat intelligence and outreach at WithSecure. It’s clear that law enforcement efforts, particularly the takedown of the LockBit ransomware gang in February 2024, have played a critical role in disrupting major ransomware operations. These efforts resulted in the seizure of significant assets and the destruction of critical infrastructure on the part of the ransomware gangs. On February 20, 2024, the international law enforcement agency LEA published a seizure order for the location of the Lockbit leak, codenamed Operation Cronos. However, as of June 2024, there are signs that Lockbit is in a rebuilding phase. Researchers have found that the extortion infrastructure is in a state of flux: Domains are being moved, different technologies are being used to build the services, and test victims are being added. Although Lockbit has shown little activity since the LEA action, it is almost certain that Lockbit is working to consolidate its operations and get back up and running. At the time of writing, law enforcement agencies are continuing to match real identities to Lockbit members. This work is significant, as it will test the operational security of ransomware actors and the ability of Western authorities to pierce the veil of secrecy. If successful, the demonstration of this capability, particularly through offensive techniques, is likely to act as a strong deterrent to ransomware actors, especially those operating in a region with law enforcement agencies willing to cooperate with the EU or the US. However, the identified Lockbit hackers are all Russian, and no arrests have been made as Russian law enforcement appears to have cut a deal with the hackers. Despite these disruptions, the long-term impact of law enforcement on the ransomware ecosystem remains uncertain, as groups tend to adapt and evolve. The report shows increasing evidence of a transformation phase for LockBit, particularly for the period since June 2024. The authors conclude that it is highly likely that LockBit intends to return to the industry with a more robust operating model. The report examines the architecture of ransomware-as-a-service (RaaS) collectives, highlighting the increasing competition among ransomware franchises to attract partners. Following the demise of well-known groups such as LockBit and ALPHV, many new „nomadic“ ransomware partners have merged with more established RaaS brands. „Trust within the cybercriminal community is likely to have been significantly weakened by incidents such as the alleged ALPHV exit scam, where affiliates were cheated out of their earnings. This further complicates the dynamics within the ransomware ecosystem,“ said West. A notable trend is the increasing use of first access through the exploitation of edge services, as described in previous WithSecure studies, as well as the frequent use of remote management tools by ransomware actors. The report also addresses the ongoing issue of reinfection. One finding: the data shows that a significant percentage of organizations that paid a ransom were later re-infected by the same or different ransomware groups. |
Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten. | Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de