In der griechischen Sagenwelt stand Herkules vor einer frustrierenden Aufgabe. Als er der Schlange Hydra einen ihrer vielen Köpfe abschlug, wuchsen zwei weitere nach. Ähnlich ergeht es heutigen Strafverfolgungsbehörden: Für jeden Cyberkriminellen, den sie schnappen, tauchen neue auf.
Ein aktuelles Beispiel ist „Lockbit“. Die Ransomware-Gruppe wurde um 2019 gegründet und war in den vergangenen beiden Jahren die „erfolgreichste“ weltweit. Mehr als 25 Prozent aller beobachteten Ransomware-Angriffe gingen 2023 auf ihr Konto, ergibt eine Analyse von Cisco Talos. Unter Federführung der NCA arbeiteten Strafverfolger aus elf Ländern darum eng zusammen, um dem Schrecken ein Ende zu setzen – unter anderem das Bundeskriminalamt (BKA), die US-Bundespolizei FBI und Europol.
Das bisherige Ergebnis: Am 20. Februar 2024 übernahmen die Strafverfolgungsbehörden die Kontrolle über die primäre Verwaltungsumgebung und die Website von Lockbit und verhafteten mindestens drei Lockbit-Mitglieder in Polen und der Ukraine. Dazu wurden mehr als 200 Kryptowährungskonten eingefroren, die mit der Gruppe in Verbindung stehen.
Nur eine kurze Atempause
Die Freude über die vermeintliche Zerschlagung ist aber schon wieder vorbei. Nur eine Woche später veröffentlichte die Gruppe wieder Nachrichten auf einer neuen Website. Seitdem hat Cisco Talos alleine in Deutschland schon wieder acht Opfer gezählt. Lockbit besitzt also offensichtlich weiterhin Zugang zu einem Teil der Daten und Infrastrukturen – und ist wieder aktiv. Der Kopf der Hydra ist nachgewachsen.
Für die Cyber-Community war das keine Überraschung. Denn schon in der Vergangenheit tauchten nach ähnlichen Aktionen die Malware-Gruppen wieder auf. So wurde etwa die Infrastruktur des Trojaners „Trickbot“ im Februar 2022 zerschlagen. Doch während des gesamten Jahres 2023 ließen sich Aktivitäten von Trickbot registrieren.
Diese Widerstandsfähigkeit liegt häufig daran, dass Cyberkriminelle nicht alleine arbeiten, sondern wie grenzübergreifende Organisationen, ähnlich anderen kriminellen Kartellen. Sie haben ihre Strukturen mehrfach redundant und in Teilen dezentral aufgebaut. Aus SOC-Sicht machen diese Gruppen einen sehr guten Job, um sich selbst zu schützen. Es kursieren Partnerprogramme für die gemeinsame Nutzung von Daten, Anwendungen und Infrastrukturen. Wird eine Gruppe lahmgelegt, können Partner ohne Probleme mit dem Bestand weiterarbeiten – und diesen sogar der angeblich zerschlagenen Gruppe zurückgeben. So war auch Lockbit nach dem harten Schlag gegen sie schnell wieder arbeitsfähig – die Notfallpläne funktionieren im Darknet offenbar besser als bei deren Opfern.
Aktionen trotzdem wichtig
Schaut man sich die wiederkehrenden Muster an, kann man leicht denken, solche Anstrengungen gegen Ransomware-Banden wären sinnlos. Aber das sind sie nicht – im Gegenteil: Sie sind über alle Maße wichtig und wertvoll.
Grundsätzlich ist es wichtig zu zeigen, dass Cyberkriminalität bestraft wird. Im Kern geht es darum, eine kollektive Resilienz gegenüber Ransomware zu schaffen, Täter zur Rechenschaft zu ziehen und störende Aktivitäten in Schlüsselkomponenten des Ransomware-Ökosystems durchzuführen. Ein wichtiger Erfolg im Fall Lockbit: Der Chef der Gruppe scheint durch die Aktion identifiziert worden zu sein, sodass die USA Hinweise auf dessen Ergreifung mit zehn Millionen US-Dollar belohnen.
Zweitens stören solche Schläge der Strafverfolgungsbehörden die Machenschaften der Cyberkriminellen erheblich und zwingen sie dazu, sich neu zu formieren. In Kombination mit den sichergestellten Vermögenswerten geht ihnen dadurch Geld verloren – viel Geld sogar. Nach einem Vorgehen des FBI verweigerte die Gruppe „Blackcat/ALPHV“ einem ihrer Partner sogar die Zahlung von 22 Millionen US-Dollar für Ransomware, bevor sie Anfang März ihre Tätigkeit einstellte.
Drittens können Security-Expert:innen Erkenntnisse über Infrastrukturen und Tools der Angreifer gewinnen, um beispielsweise Entschlüsselungswerkzeuge zu erstellen. In seltenen Fällen erhalten Forscher so auch Informationen zur Arbeitsweise der kriminellen Organisationen aus erster Hand. So konnten Talos-Mitarbeiter im Jahr 2021 Gespräche mit einem Gruppenmitglied von Lockbit führen. Die Interviews geben einen aufschlussreichen Einblick in die Struktur und Denkweise der Gruppe.
Fazit
Solche erfolgreichen Aktionen von Strafverfolgern sind wichtig und hilfreich, dürfen letztlich aber nicht dazu führen, dass man die Cybergefahren als dauerhaft gebannt sieht und seine Abwehrmaßnahmen vernachlässigt. Im Gegenteil: Lockbit lebt und auch andere Gruppen werden nicht dauerhaft zerschlagen werden. Durch das Zusammenspiel von Strafverfolgungsbehörden und eigenen Abwehrmaßnahmen macht man den Angreifern aber kontinuierlich das Leben schwer – man schiebt die Sisyphusarbeit also den Cyberkriminellen zu, auf dass sie im Idealfall ertraglos bleibt.
Thorsten Rosendahl ist Technical Leader in Deutschland beim US-amerikanischen Cybersicherheitstechnologiekonzern Cisco Talos.