Während die Ermittlungsbehörden sich auf dem beschlagnahmten Blog von Lockbit präsentierten, bot Lockbit auf einem Mirror weiterhin geleakte Daten zum Download an.

„Lockbit von Ermittlungsbehörden zerschlagen“ – was für eine Schlagzeile. Und auch der stündlich aktualisierte Countdown der britischen National Crime Agency NCA befeuerte die Spekulationen: ist den Ermittlungsbehörden tatsächlich ein echter Schlag gegen eine der professionellsten und – da gibt es nichts zu beschönigen – auch kriminellsten Gruppen der organisierten Cyberkriminalität gelungen?
Gegen 12:15 Uhr, etwas früher als angekündigt, stand fest: die Ermittler zünden ein echtes PR-Feuerwerk, feiern ihren Ermittlungserfolg mit Verhaftungen und haben den Darknet-Blog von Lockbit gekapert, um hier – Lockbit-like – mit ablaufenden Timern auf weitere Leaks hinzuweisen.

Was für ein Tag! Aber was kommt danach?
Ist Lockbit 3.0 damit Geschichte? Oder ist das wie bei Harry Potters Horkruxen (in denen ein abgespaltener Teil der Seele versteckt das Überleben des Ganzen sichert) und wie in eigentlich jedem Horrorfilm, bei denen der Übeltäter einfach nicht das Zeitliche segnen will? Und wie schlimm wird die Rache des tief getroffenen Bösen werden?

 

Es gibt gute Gründe, dass eine Fortsetzung als „Lockbit 4.0“ wahrscheinlich ist:

  • Trotz des nicht zu leugnenden Ermittlungserfolgs, der auch Verhaftungen im In- und Ausland zum Gegenstand hatte, werden bisherige Lockbit-Cyberkriminelle unerkannt entkommen, untergetaucht und/oder an einem Gegenstatement interessiert sein. Dafür ist Cybercrime als Multi-Milliarden-Business einfach zu lukrativ.
  • Nicht alle Mirrors wurden beschlagnahmt: einer der Lockbit-Fileserver mit einer Fülle an Leaks ist weiterhin im Darknet zu finden. Akkurat alphabetisch sortiert sind darauf die Leaks der vergangenen Monate und Jahre zum Download zu finden – letztes Update am 16. Februar.
  • Der Leak der Ermittlungsbehörden aus dem Backoffice zeigt es: die Organisation war gut strukturiert und organisiert. Es darf angenommen werden, dass man nach den früheren Erfahrungen mit Ermittlungsbehörden sowohl Vorkehrungen für einen neuen Ermittlungserfolg als auch für einen Angriff einer anderen Cybercrime-Organisation getroffen haben wird. Keiner kennt den Business Impact eines Cyberangriffs besser als Lockbit selbst.
  • Ist das Satire oder echt? Es kursieren Screenshots von einem „Kundenmailing“, mit dem Lockbit seine aktuellen „Kunden“ über einen Datensicherheitsvorfall informiert haben soll – Krisenkommunikation nach Lehrbuch im Stil eines Q&A einschließlich Handlungsempfehlungen, wie man als Lockbit-Kunde weiterhin sicher in Kontakt mit den Hackern treten und den Lockbit-Support nutzen könnte. Es riecht nach einem Fake, wenngleich es der Organisation durchaus zuzutrauen wäre, so einen PR-Coup zu landen. So oder so: die Gruppe hat heute enorm an Bekanntheit gewonnen und auch der eventuelle Satirebeitrag soll keinen Zweifel daran lassen: die Lockbit-Gruppe ist hochprofessionell unterwegs.
  • AlphV/Blackcat hats gezeigt: Totgesagte leben länger. Nach dem öffentlichen PR-Feuerwerk zum Ermittlungserfolg gegen Blackcat kurz vor Weihnachten 2023, hat die schwarze Katze die Krallen ausgefahren: sämtliche moralischen Regeln zur Anwendung der RaaS gegen Gesundheitseinrichtungen und Schulen waren außer Kraft gesetzt. Mittlerweile hat die Katze eines ihrer sieben Leben offenbar eingelöst und ist zurück im Geschäft: der Blog ist wieder prall gefüllt, neue Opfer gibt es nahezu täglich, zuweilen auch mehrere an einem Tag.

 

Was bedeutet das für Unternehmen, die zur Haupt-Zielgruppe der Cyberkriminellen gehören?
Selbst wenn der 20.02.2024 als letzter Tag von Lockbit in die Geschichtsbücher eingehen sollte, gibt es mindestens zwei Dutzend weiterer sehr umtriebiger Gruppierungen, die mit professionellem Vorgehen das „Geschäftsmodell Cyberkriminalität“ tagtäglich erfolgreich unter Beweis stellen. Und nahezu täglich kommen neue Gruppierungen dazu. Weil Daten das Gold der digitalen Welt bleiben, gibt es keinen Grund davon auszugehen, dass Cyberkriminelle ihren Wachstumskurs und Erfindungsreichtum bremsen werden.

 

Unser Tipp:
es bleibt alles beim Alten und entscheidend bleibt weiterhin nicht die Frage, ob Sie Opfer eines Cyberangriffs werden, sondern nur die Frage, wie gut Sie darauf vorbereitet sind. Wenn Sie sich von vorneherein auf den Besuch der Besuchseinbrecher und den großen digitalen Vandalismus in ihrem Unternehmen einrichten, können Sie den Schaden und auch die Betriebsunterbrechung begrenzen.