In den aktuellen Nachrichten zum Thema Cybersicherheit hat man oft das Gefühl, dass sich Ransomware zu einem traurigen Nebenrauschen entwickelt. Sicher ist es kein Nebenrauschen für die Betroffenen und die Behörden, welche gegen den unglaublichen Sturm an neuen Angriffen kämpfen. Dennoch ist es fast unmöglich für alle Interessierten am Thema Cybersecurity, bei der Flut an Vorfällen, neuen Varianten und Opfern noch den Überblick zu behalten.
Eine Gruppe jedoch sorgt mit hoher Treffsicherheit immer wieder für aufsehenerregende Neuigkeiten und das ist LockBit. Die seit September 2019 aktive Gruppe ist einer der bekanntesten Namen und Trendsetter im Bereich Ransomware und erst neulich sorgten sie wieder für jede Menge Wirbel in den Nachrichten. In der obigen Timeline haben wir kurz die neuesten Entwicklungen zusammengefasst.
Das System LockBit
Ein ganz kurzer Auffrischer zum Thema LockBit. Die Gruppe bietet sogenannte Ransomware an. Diese Art von Schadsoftware stiehlt Daten von den Systemen ihrer Opfer und verschlüsselt diese anschließend. Die Opfer werden anschließend mit der Freigabe der verschlüsselten Daten und der Androhung der Veröffentlichung dieser zu einer Lösegeldzahlung erpresst. Die Kombination aus Verschlüsseln und drohender Veröffentlichung nennt man Double Extortion (doppelter Erpressung), kommen noch DDoS-Angriffe dazu, spricht man von einer Triple Extortion.
Was ist passiert?
Am 13.02. gab LockBit auf seiner Website bekannt, dass es bei nicht erfolgter Zahlung in wenigen Tagen die Daten der Behörden im US-amerikanischen Fulton County veröffentlichen wird. Daraufhin wurden laut LockBit am 19.02. Server der Gruppe angegriffen. Am 20.02. gaben Behörden die Übernahme von LockBit Servern und die „Zerschlagung“ der Gruppe im Rahmen von „Operation Cronos“ bekannt und das FBI erstattete Anzeige gegen mehrere mutmaßlich involvierte Personen. Die LockBit Seite wurde durch eine Seite der Behörden ersetzt.
Diese Seite imitierte, im Gegensatz zu den Standardseiten, welche in anderen Fällen verwendet wurden, das Design der LockBit Website und drohte im LockBit Countdown Stil mit der Veröffentlichung der Daten der Identität hinter dem Account LockBitSupp, welcher vom Kopf der Gruppe in verschiedenen Foren verwendet wurde. Letztendlich wurden nur folgende Daten veröffentlicht, in denen die Behörden behaupteten, dass LockBitSupp mit dem ihnen kollaboriert:
Vier Tage später meldete sich LockBit dann mit neuer Website und einem sehr langen Statement in einer txt Datei zurück. Darin macht der vermeintliche LockBit Admin für den Hack eine veraltete PHP-Version verantwortlich, welche er aus Faulheit nicht geupdatet hat.
Due to my personal negligence and irresponsibility I relaxed and did not update PHP in time, the servers had PHP 8.1.2 version installed, which was successfully penetration tested most likely by this CVE https://www.cvedetails.com/cve/CVE-2023-3824/ …
In der von LockBit veröffentlichten Nachricht finden sich auch noch weitere Aussagen, welche den Veröffentlichungen der Behörden widersprechen.
Die Antwort von LockBit
Die am 24.02. veröffentlichte Antwort von LockBit gleicht fast einem Roman. Sie wurde auf der neuen LockBit Seite in Englisch und Russisch veröffentlicht und ist ein in der Ich-Perspektive geschriebenes Statement mit einer Mischung aus „Stärke zeigen“, „Behörden verspotten“, „Zweifel sähen“ und „Jobangebote aussprechen“.
Das Kernteam von LockBit stellt hierfür die Software und das Portal zur Verfügung und arbeitet mit sogenannten „Affiliates“ zusammen, welche das Infizieren von Unternehmen mit der Software übernehmen.
Hierfür erhalten die Affiliates einen Großteil der Lösegeldsumme und geben einen kleinen Anteil an das Kernteam von LockBit ab. Laut der aktuellen Website von LockBit verlangen sie 20 % der Summe.
Aussagen LockBit vs. Behörden
Es ist logisch, dass sich die Aussagen von LockBit und den Behörden aus Gründen wie Ermittlungstaktik und dem Versuch, die eigene Ehre zu retten, widersprechen. Allerdings sind einige Aussagen in diesem Fall besonders interessant. Diese werden wir im Folgenden betrachten:
Übernahme der Server
Behörden: Laut den Behörden ist Operation Cronos das Ergebnis von seit April 2022 laufenden Ermittlungen. So liest man im Statement von Europol:
The case was opened at Eurojust in April 2022 at the request of the French authorities.
und
This international sweep follows a complex investigation led by the UK’s National Crime Agency in the framework of an international taskforce known as ‘Operation Cronos’, coordinated at European level by Europol and Eurojust.
LockBit: Wie bereits zuvor erwähnt schiebt LockBit die Übernahme der Server auf eine Schwachstelle im PHP Code des Servers. Entweder durch die öffentliche CVE, oder einen 0day Exploit:
I realize that it may not have been this CVE, but something else like 0day for PHP, but I can’t be 100% sure, because the version installed on my servers was already known to have a known vulnerability, so this is most likely how the victims‘ admin and chat panel servers and the blog server were accessed.
Des Weiteren wird die Vermutung aufgestellt, dass die Firma Prodaft für das Aufspüren der CVE verantwortlich ist:
But let me remind you that personally I think the only person who deserves an award and an honorable mention is the person who found a suitable public PHP CVE for my servers, I’m assuming it’s someone from Prodaft.
Beobachtungen: Die Behörden selbst treffen zu dem genauen Weg des
Eindringens in die Server keine Aussagen. Allerdings ist die neue LockBit Website, Stand heute (27.02.2024) immer noch erreichbar. Ob dies daran liegt, dass den Behörden kein Exploit für die aktuellen Server vorliegt oder ob es andere Gründe dafür gibt, ist nicht nachprüfbar. Der von LockBit als Entdecker der Schwachstelle vermutete Dienstleister Prodaft veröffentlicht auf seiner Website ein Statement zu Operation Cronos, aber nennt keine Details zum genauen Vorgehen bei der Übernahme der Server.
Entschlüsseln von Dateien
Behörden: Laut Aussagen der Behörden ist es gelungen Keys zur Entschlüsselung von Daten sicherzustellen. So schreibt das FBI:
And we are going a step further — we have also obtained keys from the seized LockBit infrastructure to help victims decrypt their captured systems and regain access to their data.
Und Europol sagt dazu:
With Europol’s support, the Japanese Police, the National Crime Agency and the Federal Bureau of Investigation have concentrated their technical expertise to develop decryption tools designed to recover files encrypted by the LockBit Ransomware.
LockBit: Wie auch im Rest des Posts von LockBit wird das FBI verspottet und LockBit ist der Ansicht, dass die einzigen verwendbaren Keys einige wenige sind, welche es lediglich erlauben „umsatzschwache“ Ziele zu entschlüsseln. Alle weiteren Keys seien gesichert und können von den Behörde nicht verwendet werden.
As a result of hacking the servers, the FBI obtained a database, web panel sources, locker stubs that are not source as they claim and a small portion of unprotected decryptors, they claim 1000 decryptors, although there were almost 20000 decryptors on the server, most of which were protected and cannot be used by the FBI.
und weiter heißt es:
Note that the vast majority of unprotected decryptors are from partners who encrypt brute force dedicas and spam single computers, taking $2000 ransoms, i.e. even if the FBI has 1000 decryptors, they are of little use …
Beobachtungen: Auf der Website No More Ransomware findet sich ein Eintrag zu „LockBit 3.0 Ransom“ mit einem Download Link. Dieser Link downloadet eine „Decryption_Checker_for_LockBit.zip“ Datei, welche ein Tool enthält, um die Möglichkeit zur Entschlüsselung zu prüfen und anschließend auf weitere Kontaktmöglichkeiten verweist. Dies deutet darauf hin, dass es den Behörden möglich ist, einige Opfer zu entschlüsseln.
Ergebnisse der Ermittlungen
Behörden: Die Behörden sprechen in ihren Statements von einer starken Unterbrechung der Aktivitäten der LockBit Ransomware Gruppe, welche weitere Angriffe und Erpressungen verhindert. So schreibt das FBI:
The U.K. National Crime Agency’s (NCA) Cyber Division, working in cooperation with the Justice Department, Federal Bureau of Investigation (FBI), and other international law enforcement partners disrupted LockBit’s operations by seizing numerous public-facing websites used by LockBit to connect to the organization’s infrastructure and seizing control of servers used by LockBit administrators, thereby disrupting the ability of LockBit actors to attack and encrypt networks and extort victims by threatening to publish stolen data.
LockBit: Überraschenderweise äußert sich LockBit positiv über Operation Cronos. Seinen Aussagen zufolge hat der Angriff ihm geholfen, neue Motivation zu finden und die Sicherheit seiner Systeme zu verbessern. Seiner Überlegung zufolge sollte er mehr behördliche Aufmerksamkeit auf sich ziehen, um das FBI und andere dazu zu verleiten, ihm durch weitere Operationen zu zeigen, wo seine Schwachstellen liegen. Dazu schreibt er:
What conclusions can be drawn from this situation? Very simple, that I need to attack the .gov sector more often and more, it is after such attacks that the FBI will be forced to show me weaknesses and vulnerabilities and make me stronger. By attacking the .gov sector you can know exactly if the FBI has the ability to attack us or not.
und weiter:
From this significant moment, when the FBI cheered me up, I will stop being lazy and make it so that absolutely every build loker will be with maximum protection, now there will be no automatic trial decrypt, all trial decrypts and the issuance of decryptors will be made only in manual mode. Thus in the possible next attack, the FBI will not be able to get a single decryptor for free.
Beobachtungen: Es erscheint bei genauerer Überlegung durchaus logisch, dass LockBit sich als überlegen und positiv gestimmt durch Operation Cronos gibt. Das liegt daran, dass das Einzige, was in der digitalen Unterwelt „Vertrauenswürdigkeit“ beweist und damit Geschäfte und Umsätze ermöglicht, der Ruf ist. Und um diesen zu schützen, ist es wichtig, dass LockBit zeigt, dass keine Gefahr für seine Affiliates besteht und sich als solcher noch lange Geld verdienen lässt.
Auch ist auffällig, dass die LockBit Website zwar wieder funktioniert, aber noch nicht wieder vollständig hergestellt ist. So sind viele vorherige Opfer nicht mehr im Blog gelistet (zu den Daten kommen wir später) und einige Links zum Beispiel „PRESS ABOUT US“ verweisen noch auf alte, defekte Seiten. Auf die Veröffentlichung der Fulton County Dokumente wurde verschoben.
Allerdings hat LockBit bereits die Veröffentlichung von Daten von zuvor unbekannten Opfern angekündigt. Unklar ist, ob diese Daten bereits vorher im Besitz von LockBit waren oder der Angriff erst nach Operation Cronos erfolgte.
Anzeigen
Behörden: Mit der Veröffentlichung der Übernahme der LockBit Domain, hat das FBI auch Anzeigen gegen verschiedene Personen bekannt gegeben. Unter anderem behauptet das FBI die Identität des langjährigen und bekannten LockBit Affiliates Bassterlord geklärt zu haben:
Kondratyev, operating under the online alias “Bassterlord,” allegedly deployed LockBit against municipal and private targets …
LockBit: Von Seiten LockBit werden die angezeigten Personen als kleine Fische beschrieben, die nur wenig mit der LockBit Operation zu tun haben:
A couple of my partners were arrested, to be honest I doubt that very much, they are probably just people who are laundering cryptocurrencies, maybe they were working for some mixers and exchangers with drops, that’s why they were arrested and considered my partners, it would be interesting to see the video of the arrest, where at their homes, Lamborghinis and laptops with evidence of their involvement in our activities, but I somehow think we will not see it, because the FBI arrested random people to get a certificate of merit from the management, say look there are arrests, we are not getting money for nothing, we are honestly working off taxes and imprisoning random people, when real pentesters quietly continue their work. Basssterlord is not caught, I know Basssterlord’s real name, and it’s different than the poor guy the FBI caught.
Beobachtungen: Zwei der vom FBI benannten und von den USA sanktionierten Personen sind russische Staatsangehörige, daher werden diese Anzeigen wohl in naher Zukunft nicht zu einem Gerichtsverfahren führen.
Meme Battle
In diesen Fällen operieren Akteure oftmals außerhalb der Befugnisse westlicher Behörden, sodass Verhaftungen schwerfallen. Daher greifen sowohl Behörden als auch Cyberkriminelle gelegentlich auf „psychologische Kriegsführung“ in Form von Memes zurück.
Behörden: Die Gestaltung der Mitteilungsseite von LockBit war für eine behördliche Operation sehr ungewöhnlich. Normalerweise werden Seiten durch einen simplen Onepager mit Logos ersetzt, der Besuchern mitteilt, dass die Seite beschlagnahmt wurde. Im Fall von LockBit jedoch haben die Behörden die bereits oben gezeigte Website im LockBit Design gestaltet, mit verschiedenen Countdowns und Links zu unterstützenden Organisationen und der bereits erwähnten Androhung zur Veröffentlichung der Identität von LockBitSupp.
LockBit: Diese Besonderheit blieb natürlich nicht unbemerkt und LockBit äußerte sich in seinem Statement wie folgt dazu:
The FBI designer should work for me, you have good taste, I especially liked the new preloader, in the new update I should do something similar, USA, UK and Europe revolve around my logo, brilliant idea, right there made me feel very good, thanks.
Beobachtungen
Bei der Recherche zu diesem Artikel sind ein paar Besonderheiten aufgefallen, auf die wir im Folgenden noch einmal kurz eingehen wollen.
File-Upload: Aktuell zeigt der Blog keine älteren Einträge mehr an. Allerdings sind diese noch über den in der Website eingebauten File Browser erreichbar. Um in diesen zu gelangen, muss man auf einem der Downloadlinks von bereits verfügbaren Opfern auf den Ordner „Parent Directory“ klicken oder den Fileserver direkt per .onion URL ansprechen.
Interessanterweise sind die meisten Dateien in diesem Ordner auf den 23.02.2024 datiert. Allerdings finden sich noch einige Einträge aus dem Sommer und Herbst 2022. Im Zeitraum dazwischen sind keine Einträge erstellt worden.
Dies kann auf das Wiederverwenden alter Infrastruktur hindeuten, wie in dem Post von LockBit erwähnt:
All other servers with backup blogs that did not have PHP installed are unaffected and will continue to give out data stolen from the attacked companies.
Allerdings kann es sich hier auch um ein Täuschungsmanöver handeln.
Bug Bounty: Es sind keine Neuigkeiten, dass es dies gibt, aber im Zuge der Antwort auf die Beschlagnahmung der Infrastruktur hat LockBit noch einmal deutlich auf sein sogenanntes „Bug Bounty“ Programm hingewiesen. In der freien Wirtschaft wird dieser Begriff verwendet, wenn Unternehmen dafür bezahlen, wenn ihnen Schwachstellen an ihren Systemen gemeldet werden. Das Darknet scheint diese Idee übernommen zu haben.
… remember that I always have an active bug bounty program and I pay money for bugs found. FBI doesn’t appreciate your talents, but I do and am willing to pay generously.
Es gibt dafür auf der Website sogar einen eigenen Bereich:
Behördliche Website nicht mehr verfügbar: Zu unserer Enttäuschung ist die sehr aufwendig und unterhaltsam designte Website der Behörden auf den beschlagnahmten Domains bereits wenige Tage nach Beschlagnahmung der Domains nicht mehr verfügbar.
Fragen
An diesem Punkt ist wahrscheinlich sehr klar geworden, dass es viele offene Fragen rund um Operation Cronos und die Zukunft von LockBit gibt. Die Folgenden sind unserer Meinung nach besonders spannend in diesem Bereich:
Wird LockBit weiterhin ein so großes Affiliate Netzwerk haben, oder haben es die Behörden geschafft, das Vertrauen in die Marke zu beschädigen?
Anhand der aktuellen Website sieht es zumindest so aus, als würde die Gruppe weiterhin mit der Veröffentlichung von Daten drohen, um Lösegeld zu erpressen.
Haben die Behörden Möglichkeiten für weitere Schläge gegen LockBit, oder hat es sich hier doch nur um einen öffentlich bekannten Exploit gehandelt?
Aktuell bleibt abzuwarten, ob LockBit in der Lage war, seine Server vollständig und sicher wiederherzustellen, oder ob die Behörden Möglichkeiten haben (verdeckt) Zugang zur LockBit Infrastruktur zu erhalten.
Arbeitet LockBitSupp, oder Teile der LockBit Gruppe wirklich mit Behörden zusammen?
Stimmen die Aussagen über eine Kooperation mit den Behörden? Und wenn ja, warum wird das Ganze von einer Inszenierung des Vernichtens und Wiederauferstehens der Gruppe begleitet?
Fazit
Es ist durchaus bemerkenswert und ermutigend, dass Behörden in der Lage sind, mit aktiven Operationen gegen Cyberkriminelle vorzugehen und solche Erfolge zu erzielen. Es bleibt die Hoffnung, dass diese Operation dem System Ransomware einen Dämpfer versetzt hat. Leider ist davon auszugehen, dass uns dieses Phänomen aber auf absehbare Zeit weiter verfolgen wird.
Um es in den Worten von LockBit auszudrücken:
… I can not be stopped, you can not even hope, as long as I am alive I will continue to do pentest with postpaid.
Update 13.03.2024:
Ein weiterer, interessanter Fall ist der vermeintliche Leak der südafrikanischen Pensionsverwaltung GPAA. LockBit veröffentlichte Daten der GPAA am 11.03.2024, darin enthalten sind persönliche Daten wie Ausweiskopien und interne Dokumente. Auffällig ist hierbei, dass der Angriff gegen die GPAA vor den behördlichen Maßnahmen gegen LockBit stattfand. Das bekräftigt die Annahme, dass LockBit durch die Maßnahme der Behörden in gewissen Teilen eingeschränkt ist, da sie öfter ältere Daten veröffentlichen.
Update 15.03.2024:
Während LockBit die Daten alter Opfer veröffentlicht, verurteilen die Behörden Personen, die schon länger verhaftet sind. In Kanada ist ein russischstämmiger Bürger dazu verurteilt wurden $860,000 Schadensersatz zu zahlen und wird in die USA ausgeliefert, weil er unter anderem zwischen 2021 und 2022 LockBit Ransomware gegen kanadische Firmen eingesetzt hat. Auch wenn die Verhaftung schon länger her ist, dürfte eine solche Verurteilung definitiv eine abschreckende Wirkung haben. Des Weiteren hat LockBit auch die Daten vieler deutscher Firmen veröffentlicht, bei vielen davon ist ein genaues Datum des Angriffes nicht klar feststellbar. Allerdings steigt die Zahl an veröffentlichten Opfern aktuell rasant.
Update 21.03.2024:
LockBit hat einen Angriff gegen das Pharmazieunternehmen Crinetics bekannt gegeben. Zusätzlich zu der Ankündigung veröffentlichte die Gruppe Chats aus den Verhandlungen mit der Firma, in denen sie 1,8 Millionen US-Dollar Lösegeld ablehnt und damit droht, die Daten zu veröffentlichen. Mehr zu dem Fall kann man hier lesen: https://thecyberexpress.com/crinetics-cyberattack-confirmed/
Update 07.05.2024:
LockbitSupp identifiziert als Dmitry Khoroshev und angeklagt wegen Ransomware-Attacken.
Es wurde ein Kopfgeld in Höhe von 10 Millionen Dollar ausgesetzt:
https://therecord.media/lockbitsupp-suspect-accused-lockbit-ransomware-gang
Quellen:
https://thecyberpost.com/news/lockbit-takes-credit-for-february-shutdown-of-south-african-pension-fund/
https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
https://nvd.nist.gov/vuln/detail/CVE-2023-3824
http://lockbit7z2jwcskxpbokpemdxmltipntwlkmidcll2qirbu7ykg46eyd.onion/fbi.gov/fbi.gov_en.txt
https://www.nomoreransom.org/en/decryption-tools.html
https://www.europol.europa.eu/media-press/newsroom/news/lawenforcement-disrupt-worlds-biggest-ransomware-operation
https://krebsonsecurity.com/2024/02/fbis-lockbit-takedown-postponed-aticking-time-bomb-in-fulton-county–ga/
https://www.reuters.com/technology/cybersecurity/ukraine-arrests-father-sonduo-lockbit-cybercrime-bust-2024-02-21/