LockBit kündigt Rache an, sobald der Betrieb wieder aufgenommen ist

Nach einer koordinierten Strafverfolgungsaktion ist das in Russland ansässige Ransomware-Syndikat LockBit im Darknet wieder aufgetaucht und beweist damit seine Widerstandsfähigkeit trotz der jüngsten Störungen. Die unter dem Namen „Operation Cronos“ laufende Initiative zur Zerschlagung der Infrastruktur führte zur Beschlagnahmung von 34 Servern in Europa, Großbritannien und den USA. Darüber hinaus verhafteten die Behörden zwei mutmaßliche LockBit-Mitglieder in Polen und der Ukraine und stellten über 200 mit der Gruppe in Verbindung stehende Kryptowährungs-Wallets sicher.

LockBit ist nach der Wiederherstellung des Betriebs wieder verfügbar.

LockBit konnte nur wenige Tage nach dem Angriff schnell wieder online gehen. Das Syndikat gab an, den Betrieb mithilfe unbeschädigter Backups zügig wiederhergestellt zu haben. In einer Stellungnahme räumte der Administrator seine Fahrlässigkeit ein, die die Störung zugelassen hatte, und drohte mit Vergeltungsmaßnahmen, insbesondere gegen staatliche Stellen.

Die National Crime Agency (NCA), die die Operation Cronos leitete, erklärte jedoch, dass die Systeme von LockBit im Zuge der Operation vollständig kompromittiert und zerschlagen wurden. Trotz der von den Strafverfolgungsbehörden verkündeten Erfolge hat die Gruppe ihre Aktivitäten umgehend wieder aufgenommen, ihre Widerstandsfähigkeit unter Beweis gestellt und sucht aktiv nach neuen Opfern.

Die NCA deutete zwar an, Informationen über den Anführer von LockBit, bekannt als „LockBitSupp“, zu besitzen, gab aber nur wenige Detailsdentbekannt. US-amerikanische Strafverfolgungsbehörden haben eine hohe Belohnung für Hinweise ausgesetzt, die zurdentoder zum Aufenthaltsort der Führungsspitze der Gruppe führen, was auf mögliche Wissenslücken oder Beweisschwierigkeiten hindeutet.

Behörden rufen angesichts des Wiederauflebens der Gruppe zur Wachsamkeit auf

Da LockBitSupp weiterhin aktiv ist, ist die Entschlossenheit der Gruppe, durchzuhalten, deutlich spürbar. Ransomware-Gruppen reorganisieren sich nach Konfrontationen mit Strafverfolgungsbehörden häufig und ändern ihren Namen. So erlitt beispielsweise ALPHV, auch bekannt als BlackCat, letztes Jahr einen ähnlichen Rückschlag, nahm aber seine Aktivitäten schnell wieder auf.

Auch andere Ransomware-Gruppen wie Conti und Hive haben nach dem Eingreifen der Strafverfolgungsbehörden neue Namen angenommen und sich neu formiert. Die Zerschlagung der Gruppe ist zwar bedeutend, folgt aber einem bekannten Muster, das man bereits bei anderen Ransomware-Gruppen beobachtet hat. Die Behauptungen der Gruppe, die Strafverfolgungsbehörden hätten nur eine begrenzte Anzahl von Entschlüsselungstools erlangt, die falschen Personen festgenommen und nicht alle ihre Websites abgeschaltet, deuten auf ihre Entschlossenheit hin, weiterzumachen.

Die Gruppe hat zugesichert, ihre Infrastruktursicherheit zu verstärken, Entschlüsselungstools manuell zu veröffentlichen und ihr Partnerprogramm trotz der defiOperation aufrechtzuerhalten. Die NCA hat das Potenzial einer Neugruppierung von LockBit anerkannt und ihr Engagement zur Zerschlagung des Syndikats bekräftigt. Die anhaltenden Bemühungen der Strafverfolgungsbehörden unterstreichen die fortbestehende Bedrohung durch LockBit trotz der jüngsten Interventionen.

Im Kern verdeutlicht die anhaltende Konfrontation zwischen Strafverfolgungsbehörden und Ransomware-Syndikaten wie LockBit die enormen Herausforderungen, vor denen die Behörden im Kampf gegen Cyberkriminalität. Obwohl die Bemühungen der Strafverfolgungsbehörden bedeutende Erfolge erzielt haben, zeigen diese Syndikate eine bemerkenswerte Widerstandsfähigkeit und tauchen oft unter neuen Namen wieder auf, um ihre illegalen Aktivitäten fortzusetzen.