Keine Entwarnung nach Zerschlagung der Ransomware-Bande Lockbit
Die aggressive Cybercrime-Gruppe Lockbit ist zwar lahm gelegt. Hacker könnten ihre Strategie nun ändern und neue Angriffsziele ins Visier nehmen. Vor allem kleinere Unternehmen sind gefährdet.
Die US-Regierung teilte am Dienstag mit, dass sie bestimmte Operationen der Lockbit-Bedrohungsgruppe gestoppt und zwei russische Staatsangehörige angeklagt hat, die mit der weit verbreiteten Cyberkriminellen-Bande in Verbindung stehen. CRN hatte gestern über die Zerschlagung der Lockbit-Gruppe berichtet.
Der Erfolg der internationalen Taskforce ist ein wichtiger Schritt im Kampf gegen die Cyberkriminalität, denn Lockbit war der "Kern vieler Ransomware-Angriffe, die wir in den letzten Jahren erlebt haben, sagte SonicWall-CEO Bob VanKirk am Dienstag in einem Interview mit CRN.
Zu den bemerkenswerten Lockbit-Angriffen gehörte der letztjährige Vorfall bei dem IT-Lösungsanbieter CDW aus den USA. Das Unternehmen teilte vergangenen Oktober mit, dass es Ermittlungen einleitete, nachdem Lockbit behauptet hatte, gestohlene CDW-Daten weitergegeben zu haben, nachdem eine Erpressungsforderung in Höhe von 80 Mio. Dollar gestellt worden war, die zu diesem Zeitpunkt die drittgrößte aller Zeiten war.
Michael Crean, Leiter des Bereichs Managed Security Services bei SonicWall, erklärte am Dienstag gegenüber CRN, dass die Zerschlagung der Lockbit-Bande in mehrfacher Hinsicht folgenreich sein könnte. Zum einen "ist es eine weitere Erinnerung daran, dass wir diese wirklich großen Organisationen verfolgen und ausschalten müssen", so Crean. Eine der Folgen könnte jedoch sein, dass die Angreifer schneller zu weniger auffälligen Aktivitäten übergehen, sagte er. "Wenn ich ein Bösewicht bin, was werde ich jetzt tun? Nun, ich werde versuchen, unter dem Radar zu fliegen und trotzdem zu bekommen, was ich will", sagte Crean. "Ich werde es einfach auf eine Weise tun, die keine Aufmerksamkeit auf mich lenkt."
Ein denkbares Szenario, wie es jetzt weitergehen könnte: "Die Gruppe zerbricht, aber ihre Expertise und ihre Werkzeuge verteilen sich über die gesamte Cybercrime-Landschaft hinweg", sagte Rüdiger Trost, Cybersecurity-Experte von WithSecure. So sei es geschehen, als Conti sich auflöste, so Trost. Die Erfahrung zeigt leider: "Selbst ein großer Schlag gegen die Cyberkriminalität führt nicht zu deren Austrocknung. Die Menschen dahinter haben weiterhin ihre Fähigkeiten und suchen sich neue Wege. Viele IT-Experten in ärmeren Ländern finden auch einfach keine legalen Jobs."
Eine noch stärkere Ausweitung der Angriffe auf kleine und mittelständische Unternehmen - die natürlich nicht so viel Beachtung finden wie Angriffe auf Großunternehmen und Regierungsbehörden - könnte eine der Folgen dieser Umstellung sein, warnt Michael Crean. Solche Angriffe wurden in jüngster Zeit durch eine Reihe von nationalstaatlichen Angriffskampagnen unterstrichen, die Router von kleinen Büros/Heimbüros (SOHO) ausnutzen und in den letzten Wochen vom FBI aufgedeckt wurden.
Gefahr für mittelständische Unternehmen könnte steigen
Letzte Woche gab das FBI bekannt, dass es eine weit verbreitete Kampagne russischer Hacker unterbrochen hat, die "Hunderte" von SOHO-Routern kompromittiert hatte. Und Ende Januar gab die Behörde bekannt, dass sie eine mit China verknüpfte Kampagne gestoppt hat, die SOHO-Router ausnutzte, von denen viele alt und nicht unterstützt waren.
VanKirk sagte, es sei klar, dass KMUs derzeit im Fadenkreuz von Hackergruppen stünden, und zwar sowohl von staatlichen Angreifern als auch von Cyberkriminellen.
"Die Bedrohungsakteure scheren sich nicht mehr darum. Sie haben es nicht nur auf Unternehmen abgesehen", sagte er. "Sie haben sich auf staatliche und lokale Behörden sowie auf kleine und mittlere Unternehmen verlegt.
Dies mache die Rolle des MSP aus der Sicherheitsperspektive wichtiger denn je, so VanKirk gegenüber CRN. "Angesichts der schieren Anzahl von Angriffen und der Komplexität bieten MSPs eine wichtige Sicherheitsebene, die Endkunden benötigen, insbesondere im KMU-Bereich", sagte er.