LockBit: Einblicke in die Welt einer berüchtigten Hackergruppe

LONDON (IT BOLTWISE) – Die jüngsten Enthüllungen über die LockBit-Ransomware-Gruppe werfen ein neues Licht auf die Aktivitäten und Strategien dieser berüchtigten Hacker. Ein kürzlich veröffentlichter Datenleak zeigt, wie die Gruppe weltweit operiert und welche Länder und Sektoren besonders im Fokus stehen.

Die LockBit-Ransomware-Gruppe hat in den letzten Monaten weltweit für Aufsehen gesorgt. Laut einer Analyse des Trellix Advanced Research Center, die im Mai veröffentlicht wurde, waren China und die USA zwischen Dezember 2024 und April dieses Jahres die am stärksten betroffenen Länder. Insgesamt wurden 156 Organisationen von den Affiliates der Gruppe ins Visier genommen. Besonders China rückte aufgrund seiner großen industriellen Basis und des Fertigungssektors in den Fokus der Angreifer.

Im Gegensatz zu anderen Ransomware-Gruppen wie BlackBasta und Conti, die chinesische Ziele gelegentlich ohne Verschlüsselung sondieren, scheint LockBit bereit zu sein, innerhalb der chinesischen Grenzen zu operieren und mögliche politische Konsequenzen zu ignorieren. Diese Vorgehensweise markiert eine interessante Abweichung von der üblichen Strategie solcher Gruppen.

In den USA waren Affiliates wie BaleyBeach, umarbishop47 und btcdrugdealer aktiv. Die Angriffe dort schienen breiter unter den Affiliates verteilt zu sein, was auf einen opportunistischeren Ansatz hindeutet, anstatt auf spezialisierte Zielsetzungen. Taiwan war das drittmeist angegriffene Land, gefolgt von Brasilien und der Türkei. Eine Gruppe namens Swan zeigte eine breite geografische Reichweite und zielte auf mehrere europäische Länder wie Österreich, die Tschechische Republik und die Schweiz ab.

Die Analyse der LockBit-Datenbank enthüllte auch einige unerwartete Zielmuster. Besonders überraschend war der konzentrierte Angriff auf chinesische und taiwanesische Organisationen. Während andere Ransomware-Gruppen möglicherweise vor politisch sensiblen Zielen zurückschrecken, scheint LockBit mit einer anderen Kalkulation zu operieren.

Der Industriesektor, der am häufigsten angegriffen wurde, war die Fertigung, gefolgt von Konsumdienstleistungen, dem Finanzsektor und Regierungsdiensten. Nach der Analyse der Verhandlungs-Chats von LockBit entdeckten die Forscher 18 bestätigte Zahlungen an Kryptowährungs-Wallets, die vermutlich unter der Kontrolle von LockBit-Affiliates stehen, was ihnen etwa 2.337.000 US-Dollar einbrachte.

Die Daten zeichnen ein Bild von unterschiedlichen Strategien, wobei die anfänglichen Lösegeldforderungen von bescheiden bis exorbitant reichten. Deutlich wird, dass erhebliche Rabatte die Norm waren, oft zwischen 10 % und 80 %, was das Feilschen hinter den Kulissen dieser Cyber-Erpressungsversuche hervorhebt.

Der Eigentümer von LockBit scheint den Affiliates 20 % der Lösegeldzahlungen in Rechnung gestellt zu haben, was sich über den Zeitraum auf etwa 456.000 US-Dollar summierte. Aus Auto-Registrierungs-Einladungen erzielte er jedoch deutlich weniger – etwa 10.000 bis 11.000 US-Dollar. Die Behauptung von LockBit im RAMP-Untergrundforum, monatlich 100.000 US-Dollar aus Auto-Registrierungen zu verdienen, wird daher als stark übertrieben angesehen.

Obwohl LockBit einst eine der produktivsten und erfolgreichsten Ransomware-as-a-Service-Gruppen war, wurde sie Anfang letzten Jahres durch internationale Strafverfolgungsbehörden gestört. Seitdem wurden mehrere Mitglieder der Gruppe und Affiliates verhaftet. Die übertriebenen Behauptungen der Gruppe über ihre Einnahmen zeigen, wie Cyberkriminelle dazu neigen, ihre Erfolge aufzubauschen und ihre Misserfolge herunterzuspielen.

Was dieser Leak wirklich zeigt, ist die komplexe und letztlich weniger glamouröse Realität ihrer illegalen Ransomware-Aktivitäten. Obwohl profitabel, ist es weit entfernt von der perfekt orchestrierten, massiv lukrativen Operation, als die sie die Welt glauben machen wollen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!