Thought Leadership
Die für zahlreiche Erpressungsangriffe bekannte Ransomware-Gruppe LockBit ist selbst Opfer eines Hackerangriffs geworden. Unbekannte Angreifer haben die Affiliate-Plattformen im Darkweb mit einer deutlichen Nachricht überschrieben: „Don’t do crime. CRIME IS BAD xoxo from Prague.“
Der Sicherheitsforscher Rey meldete als Erster die Kompromittierung, bei der ein Link zum Download einer Datei mit dem Namen „paneldb_dump.zip“ hinterlassen wurde. Diese enthält offenbar eine Datenbank des Affiliate-Verwaltungsportals. Analysen legen nahe, dass der Dump bereits am 29. April erstellt wurde, während die öffentlich sichtbare Defacement-Aktion erst am 7. Mai erfolgte. Bislang hat sich keine Gruppe zu dem Angriff bekannt.
LockBit-Vertreter bestätigt den Vorfall
Ein als LockBitSupp bekannter Sprecher der Gruppe hat den Einbruch inzwischen in einem Gespräch mit dem Sicherheitsforscher Rey bestätigt. Der Sprecher betont jedoch, dass weder private Verschlüsselungsschlüssel noch gestohlene Unternehmensdaten kompromittiert wurden. Den Angaben zufolge seien lediglich Bitcoin-Adressen und Kommunikation mit betroffenen Unternehmen entwendet worden.
„Der Quellcode wurde nicht gestohlen. Ich arbeite bereits daran, den Betrieb wieder aufzunehmen“, teilte LockBitSupp mit. Tatsächlich ist die Darkweb-Präsenz der Gruppe mittlerweile wieder online.
Folge intensiver Strafverfolgungsmaßnahmen
Der Vorfall folgt auf umfangreiche internationale Maßnahmen gegen LockBit. Anfang 2024 führten Strafverfolgungsbehörden aus elf Ländern die „Operation Cronos“ durch, bei der 34 Server beschlagnahmt, Leak-Websites abgeschaltet und mehr als 1.000 Entschlüsselungsschlüssel sichergestellt wurden, mit denen Opfer ihre Daten ohne Lösegeldzahlung wiederherstellen konnten.
Zudem wurden im Rahmen der Operation rund 200 mit LockBit verbundene Kryptowährungs-Wallets beschlagnahmt. Obwohl die Gruppe ihre Aktivitäten nach diesem Schlag wieder aufnahm, scheint ihre operative Kapazität deutlich eingeschränkt.
