LockBit-Leak zeigt, dass Partner Drucktaktiken anwenden, aber selten bezahlt werden

LockBit, eine der derzeit aktivsten Ransomware-Banden, wurde letzte Woche gehackt , was ihre internen Abläufe deutlich offenbarte. Die durchgesickerten Dateien, die kurzzeitig über eine Onion-Site im Tor-Netzwerk zugänglich waren, ermöglichten Forschern und Sicherheitsexperten einen seltenen Einblick in die Funktionsweise von LockBits Ransomware-as-a-Service ( RaaS ).

Der Angriff geht vermutlich auf jemanden zurück, der Zugriff auf die Infrastruktur von LockBit hatte und Chatprotokolle, Ransomware-Build-Datensätze, Konfigurationsdateien, Bitcoin-Wallet-Adressen und Partnerkennungen offenlegte. Während Ransomware-Gruppen normalerweise im Rampenlicht stehen, sind sie dieses Mal selbst Gegenstand von Analysen geworden.

Rhys Downing, Analyst im Security Operations Center von Ontinue, leitete die eingehende Überprüfung der durchgesickerten Daten. Seine Arbeit beschreibt detailliert die Funktionsweise des LockBit-Partnerprogramms, einschließlich der Art und Weise, wie Angreifer Payloads erstellen, Lösegeldforderungen abschätzen und Verhandlungen führen.

Downings Analyse enthüllt außerdem die strukturierte Natur des Ökosystems von LockBit und bricht die Infrastruktur der Gruppe auf, wodurch deutlich wird, wie gut dieses kriminelle Netzwerk organisiert ist.

Einer der wichtigsten Teile der geleakten Daten ist eine Tabelle, die intern als „Builds“ bezeichnet wird und jede von LockBit-Partnern erstellte Ransomware-Nutzlast protokolliert. Jeder Datensatz enthält Details wie die Partner-ID, öffentliche und private Verschlüsselungsschlüssel, Referenzen zu den betroffenen Unternehmen und die angegebenen Lösegeldforderungen.

Diese Schätzungen wurden von den Angreifern vor dem Start der Payloads manuell eingegeben und geben Aufschluss über ihre Preisstrategien und Zielauswahl. Einige Lösegeldforderungen waren übertrieben, Einträge wie „303kkk“ (303 Millionen US-Dollar) scheinen Testdaten zu sein, andere zeugen jedoch von einem kalkulierteren Vorgehen. So verzeichnete beispielsweise ein Partnerunternehmen vier Builds mit einem deklarierten Gesamtwert von über 168 Millionen US-Dollar.

Trotz Hunderter Ransomware-Builds und aggressiver Lösegeldforderungen wurde nur bei sieben von 246 Opfern eine Zahlung registriert. Interessanterweise zeigte keiner von ihnen eine Bestätigung über den Erhalt eines Entschlüsselungstools. Ob dies auf unvollständige Daten oder absichtliches Weglassen dieser Daten zurückzuführen ist, bleibt unklar.

Die Zahlen machen eines deutlich: Die meisten Opfer zahlen nicht, und noch weniger erhalten eine Gegenleistung. Dies steht im Einklang mit dem jüngsten Datendiebstahl bei PowerSchool . Das Bildungstechnologieunternehmen zahlte ein nicht genanntes Lösegeld an Cyberkriminelle, um weitere Folgen zu verhindern. Die Angreifer kamen jedoch mit höheren Forderungen zurück und zielten diesmal auf Lehrer und Schüler ab.

Was LockBit betrifft, zeigte die geleakte Datenbank, dass das Feld, in dem die an Partner ausgezahlten Provisionen angegeben wurden, nur in 2,8 % der Fälle größer als Null war. Aber selbst das ist kein eindeutiger Beweis für die Zahlung eines Lösegelds.

Laut dem Ontinue Threat Report wurden zudem über 4.000 Chatprotokolle zwischen LockBit-Partnern und Opfern geleakt. Diese Nachrichten zeugen von einer Mischung aus gezieltem Druck, emotionaler Manipulation und offenen Drohungen. In mehreren Fällen wiesen Partner Gnadengesuche zurück und verdoppelten die Lösegeldforderungen ohne Vorwarnung.

Ein Partner antwortete einem Unternehmen, das behauptete, es sei ein kleines Unternehmen: “Your size is irrelevant. Your data is valuable.”

In einer anderen Konversation wurde mit einem bizarren Werbeslogan für das Partnerprogramm von LockBit geworben: “Want a Lamborghini, a Ferrari and lots of ti**y girls? Sign up and start your pentester billionaire journey in 5 minutes with us.”

Diese Gespräche zeigen, dass die LockBit-Partner eher wie aufdringliche Verkäufer agieren als wie Hacker/Cyberkriminelle. Die Taktiken reichen von psychologischem Druck bis hin zu Warnungen vor der Einschaltung von Strafverfolgungsbehörden oder Versicherungsanbietern.

Bemerkenswert an den Daten ist der Organisationsgrad. LockBit nutzt modulare Payload-Builder, Affiliate-Dashboards und eine leistungsstarke Backend-Infrastruktur. Affiliates können Build-Konfigurationen optimieren, um alles zu steuern – von der zu verschlüsselnden Datei bis hin zur Selbstlöschung des Entschlüsselers nach der Verwendung.

Sie führten auf einer ihrer Onion-Sites sogar ein Bug-Bounty- Programm durch und boten Belohnungen für in ihrer Infrastruktur gefundene Schwachstellen.

Der Datenleck steht zudem im Zusammenhang mit einer früheren Strafverfolgungsmaßnahme. Operation Cronos , eine Kampagne der britischen National Crime Agency und anderer Organisationen, hatte zuvor Benutzernamen offengelegt, die mit LockBits Aktivitäten in Verbindung stehen. Viele dieser Benutzernamen wurden in diesem neuen Leck bestätigt und stimmten mit IDs überein, die in den Nutzdaten gefunden wurden.

Zu den bemerkenswerten Benutzern gehörten:

• Ashlin mit der höchsten Anzahl generierter Nutzlasten

• Rich, Melville und Merrick als weitere Großhändler

Diese Verbindung bestätigt weiter, dass das Hauptteam und die hochrangigen Verbündeten der Bande auch nach früheren Festnahmeversuchen ihre Position gehalten haben.

Kurz gesagt, die Datenleckanalyse von Ontinue verdeutlicht einige Dinge, beispielsweise, dass LockBit wie ein Franchise-Unternehmen funktioniert. Sie liefern die Malware, verbundene Unternehmen führen die Angriffe durch und jeder erhält einen Teil des Lösegelds.

Dieses Leck zeigt, dass viele Partner ihre Angriffe wie Verkaufsgespräche behandeln, erwartete Renditen protokollieren, Verhandlungen führen und strukturierte Schritte befolgen, um die Opfer unter Druck zu setzen. Doch genau wie ein gescheiterter Verkaufsversuch scheinen die meisten dieser Versuche zu scheitern.

Laut Saeed Abbasi , Manager für Schwachstellenforschung bei Qualys, ist der Angriff eine wertvolle Informationsquelle für die Sicherheitsteams. „Wenn sie verstehen, auf welche Systeme LockBit gezielt hat und wie die Partner die Payloads angepasst haben, können Sicherheitsteams Patches besser priorisieren, übersehene Systeme absichern und grundlegende Zugriffskontrollen verbessern“, sagte er.

LockBits Nutzung von Tor bleibt weiterhin eine wichtige Verteidigungsstrategie und erschwert die Abschaltung ihrer Websites. Das Leck deutet jedoch darauf hin, dass kein System, auch nicht eines von Cyberkriminellen, wirklich sicher ist.

Der LockBit-Angriff hat eine Ransomware-Attacke aufgedeckt, die Unternehmen weltweit betroffen hat. Er bestätigt, was Sicherheitsexperten schon seit Jahren vermuten: Ransomware-Gruppen funktionieren wie Unternehmen, inklusive Partner-Onboarding, Infrastrukturmanagement und Finanzplanung.