Nachdem es anfangs so schien, als hätten internationale Ermittler die Ransomware-Gruppierung LockBit in einer Operation namens Cronos endgültig zerschlagen, hat sich der mutmaßliche Kopf der Organisation mit einer aus der Ich-Perspektive verfassten Erklärung zurückgemeldet. LockBit gilt als die derzeit größte Ransomware-Gruppe und verdiente bis dato nach eigenen Aussagen über 100 Millionen US-Dollar mit ihren Hacks.
Am 19.02. wurde bekannt, dass Ermittler von zehn Behörden Zugriff auf große Teile der Daten, Kryptowallets sowie Webseiten der Gruppe erlangten. Zusätzlich wurden zwei Personen in Polen und in der Ukraine festgenommen. Die Operation Cronos nutzte eine Lücke in PHP aus, um die LockBit-Server zu infiltrieren. Werkzeuge zur Entschlüsselung betroffener Daten wurden ebenfalls erlangt.
In der Folge haben die Ermittler auch die Enthüllung der Identität des vermeintlichen Chefs der Bande in besonderer Manier angekündigt. Durch eine provozierende Strategie wollten sie den Ruf und das Vertrauen in den Chef und in die Gruppe untergraben. Misstrauen soll speziell unter den Kriminellen gesät werden, die sich häufig als unantastbar gegenüber Strafverfolgungsbehörden geben. Die eigentliche Enthüllung lieferte wenig konkrete Details. Ob die Strategie des öffentlichen Trollings gegenüber den Gruppen Erfolg hat, bleibt abzuwarten.
Die jüngste Stellungnahme von LockBit zerstört indes die Hoffnung, dass die Gruppe tatsächlich zerschlagen wurde. Sie gesteht sich zwar Fehler im Betrieb ihrer Systeme ein, plant jedoch, Angriffe auf staatliche Institutionen zu verstärken. Zudem macht sie sich über die Behörden hinter Cronos lustig und bietet Jobs für die Personen an, die die Schwachstellen in LockBits Infrastruktur fanden. Sie spekuliert über mögliche Motive für den Gegenangriff und sieht dies als Bestätigung ihrer Bedeutung. Die Gruppe scheint vor allem gut darin zu sein, sich selbst ihr Geschäftsmodell auf zweifelhafte Weise zu legitimieren.
LockBit bleibt damit die führende Ransomware-as-a-Service-Gruppe, deren „Dienst“ verantwortlich für über 20 % aller Ransomware-Angriffe im letzten Jahr war.
Das ursprüngliche Statement der Gruppe (inzwischen nur noch bei Archive.org verfügbar): https://web.archive.org/web/20240224220101/https://samples.vx-underground.org/tmp/Lockbit_Statement_2024-02-24.txt
Die letzte Meldung auf Heise mit Einschätzung des Statements: https://heise.de/-9638063