Die Behörden für Strafverfolgung stehen Ransomware-Gruppierung auf einem Schlachtfeld wieder, auf dem sich Zerschlagung und Auferstehung von cyberkriminellen Vereinigungen zyklisch wiederholen. So wurden in der Vergangenheit schon viele Gruppen zerschlagen, die kurz darauf unter anderem Namen mit angepassten Techniken ihre Aktivitäten wieder aufgenommen haben.
Anlässlich der Zerschlagung von LockBit erinnert Richard Cassidy, Field CISO bei Rubrik, daran: Jede Zerschlagung ist eine willkommene Nachricht, aber der Zyklus endet nicht, solange die grundlegenden Probleme nicht gelöst werden.
Gerade die Gruppierung LockBit dürfte laut Einschätzung von Cassidy der Strafverfolgung finanziell überlegen sein. Dadurch ist die Gruppe bestens mit dem Geld ausgestattet, um sich neu aufzustellen und notfalls unter anderem Namen weiterzumachen.
Richard Cassidy kommentiert:
„Zweifellos ist die Nachricht, dass die Aktivitäten von Lockbit zerschlagen wurden, eine willkommene Entwicklung auf dem Schlachtfeld der Ransomware. Aber der Kampf ist noch lange nicht gewonnen. Auch wenn die Operationen von Lockbit für einen unbestimmten Zeitraum beeinträchtigt sind, sollten wir die Anpassungsfähigkeit der Gruppe nicht unterschätzen. Diese kriminellen Gruppierungen haben stets eine bemerkenswerte Fähigkeit bewiesen, sich an die Maßnahmen der Strafverfolgung anzupassen, ihre Taktiken weiterzuentwickeln und ihre Operationen fortzusetzen – manchmal unter einem neuen Namen.“
„Wir konnten in der Vergangenheit sehen, wie widerstandsfähig Ransomware-Gruppen sind, die von den Strafverfolgungsbehörden zerschlagen wurden. Darunter waren zum Beispiel Hive, ALPHV/BlackCat und der Wandel von DarkSide zu BlackMatter, die zeigen, dass die Gruppierungen von Cyberkriminellen in der Lage sind, sich zu erholen, sich umzubenennen sowie in neue oder bestehende Netzwerke zu integrieren und dabei die Unterstützung durch das Ransomware-as-a-Service-Ökosystem zu nutzen.“
„Wir müssen uns fragen, ob die finanziellen Ressourcen von Gruppen wie Lockbit nicht umfangreicher sind als die der Strafverfolgungsbehörden, die mit ihrer Zerschlagung beauftragt sind. Lockbit ist durch den Erfolg ihrer Aktivitäten finanziell extrem gut aufgestellt und hat unter anderem allein von US-Organisationen rund 91 Millionen Dollar eingetrieben. Dadurch haben sie die wirtschaftliche Macht, sich neu zu gruppieren und neue Taktiken, Techniken und Verfahren zu entwickeln, um aus den Fehlern, die zu ihrer Zerschlagung geführt haben, zu lernen und sich anzupassen sowie ihren Ansatz – falls notwendig – neu zu erfinden.“
„Die zyklischen Zerschlagungen durch die Strafverfolgung und das erneute Aufleben dieser Ransomware-Gruppen zeigen das große Problem im Ökosystem der Cyberkriminalität auf. Das grundlegende Problem sind die Triebkräfte hinter Ransomware-Angriffen. Dazu zählen die finanziellen Anreize, die relative Anonymität von Transaktionen mit Kryptowährungen und die Schwachstellen, die regelmäßig bekannt, aber nicht behoben werden. Bis diese Probleme gelöst wurden, können wir davon ausgehen, dass der Zyklus von Zerschlagung und Wiederauftreten auf unabsehbare Zeit weitergehen wird.“