zurück zum Artikel

Lockbit-Ransomware-Gruppe stellt sich professioneller auf

Dirk Knop
Aufmacher Lockbit 3.0

(Bild: Pixels Hunter/Shutterstock.com)

Die Erpresserbande hinter der Ransomware Lockbit hebt den Professionalisierungsgrad auf eine neue Stufe. Sogar ein Bug-Bounty-Programm hat sie aufgelegt.

Die Professionalisierung der Erpresserbande hinter der Lockbit-Ransomware hat eine neue Stufe erklommen. Dazu gehört markiges Marketing für eine aktualisierte Ransomware-Version, Lockbit 3.0, mit dem Spruch "Make Ransomware Great Again!". Weniger erwartbar ist ein Bug-Bounty-Programm, das die Cyberkriminellen mit dem Ransomware-as-a-service-Geschäftsmodell jetzt aufgelegt haben.

Darauf gestoßen ist das vx-underground-Kollektiv auf Twitter. Dort finden sich auch Screenshots etwa von der Bug-Bounty-Webseite.

So loben die Malware-Entwickler Belohnungen dafür aus, dass ihnen Fehler auf der Webseite, Fehler bei der Verschlüsselungssoftware, die etwa eine spätere Entschlüsselung verhindern könnten oder einfach gute Ideen zur "Verbesserung" der Webseite und Software gemeldet werden. Ebenfalls auf der Liste ist Doxxing insbesondere wichtigerer Menschen, also das Zusammentragen von (kompromittierendem) Material und Ausforschen von Adressen, um damit Personen zu erpressen.

Um ihre eigene Anonymität machen sich die Cyberkriminellen ebenfalls Gedanken. Daher wollen sie auch Kopfgelder zahlen, sollte jemand Schwachstellen in dem verwendeten TOX-Messenger oder allgemein im anonymisierenden Netzwerk von Tor finden, die das Abfangen von Nachrichten ermöglichen oder die Nutzer erkenn- und auffindbar machen würden.

Ob tatsächlich jemand darauf anspringt und potenzielle Fehler meldet, steht jedoch auf einem anderen Blatt. Das Vertrauen gegenüber den Kriminellen dürfte sehr niedrig sein. Ihr gesamtes Geschäft basiert schließlich auf Lug, Betrug und Abzocke.

Etwas zynisch formuliert denken die Lockbit-Drahtzieher auch an die Opfer ihres kriminellen Geschäftsmodells. So haben sie inzwischen die Webseite, auf der sie erbeutete Informationen zu veröffentlichen drohen, mit mehr Optionen bezüglich des gewünschten Umgangs der Opfer mit den Daten ausgestattet.

Ein Beispiel-Screenshot vom vx-underground auf Twitter zeigt, dass Bieter sich eine Fristverlängerung für 10.000 US-Dollar kaufen können. Für eine Summe von 874.330 US-Dollar können Besucher im gezeigten Beispiel der Leak-Seite entweder die Zerstörung der Daten oder deren Download erstehen. Auch hier lässt sich eine professionellere Aufstellung erkennen. Die Cybergang Conti hat ihre Leak- und Bieter-Webseite hingegen gerade erst geschlossen [1].

Am Montag dieser Woche hatten renommierte IT-Sicherheitsexperten aus Forschung, Lehre und Privatwirtschaft einen offenen Brief veröffentlicht. Darin haben sie bereits das Problem angesprochen, dass die Lösegeldzahlungen zu einer deutlichen Professionalisierung der Verbrecherbanden geführt hätten [2]. Diese seien "technisch und methodisch oft um Größenordnungen besser aufgestellt [...] als die angegriffenen Unternehmen".

(dmk [3])


URL dieses Artikels:
https://www.heise.de/-7155742

Links in diesem Artikel:
[1] https://www.heise.de/news/Ransomware-Gang-Conti-schliesst-Leak-und-Verhandlungsplattform-7154035.html
[2] https://www.heise.de/news/Offener-Brief-Ransomware-Loesegeldzahlungen-sind-die-Wurzel-allen-Uebels-7154572.html
[3] mailto:dmk@heise.de