LockBit tauchte Ende 2019 auf und nannte sich zunächst „ABCD-Ransomware“. Seitdem ist es rasant gewachsen. Die Gruppe ist eine „Ransomware-as-a-Service“-Operation, was bedeutet, dass ein Kernteam seine Malware erstellt und seine Website betreibt, während es seinen Code an „Partner“ lizenziert, die Angriffe starten.
Wenn Ransomware-as-a-Service-Gruppen ein Unternehmen erfolgreich angreifen und dafür bezahlt werden, teilen sie in der Regel einen Teil der Gewinne mit den verbundenen Unternehmen. Im Fall von LockBit sagt Jérôme Segura, Senior Director of Threat Intelligence bei Malwarebytes, dass das Affiliate-Modell auf den Kopf gestellt wurde. Affiliates kassieren Zahlungen direkt von ihren Opfern und zahlen dann eine Gebühr an das LockBit-Kernteam. Die Struktur funktioniert anscheinend gut und ist für LockBit zuverlässig. „Das Affiliate-Modell war wirklich gut ausgebügelt“, sagt Segura.
Obwohl Forscher in den letzten zehn Jahren wiederholt gesehen haben, wie Cyberkriminelle aller Art ihre Operationen professionalisiert und rationalisiert haben, nehmen viele prominente und produktive Ransomware-Gruppen extravagante und unberechenbare öffentliche Persönlichkeiten an, um Bekanntheit zu erlangen und Opfer einzuschüchtern. Im Gegensatz dazu ist LockBit dafür bekannt, relativ konsistent, fokussiert und organisiert zu sein.
„Ich denke, dass sie von allen Gruppen wahrscheinlich die sachlichsten waren, und das ist einer der Gründe für ihre Langlebigkeit“, sagt Brett Callow, Bedrohungsanalyst beim Antivirus-Unternehmen Emsisoft. „Aber die Tatsache, dass sie viele Opfer auf ihrer Website posten, bedeutet nicht unbedingt, dass sie die produktivste Ransomware-Gruppe von allen sind, wie manche behaupten würden. Sie sind wahrscheinlich ziemlich zufrieden damit, so beschrieben zu werden. Das ist einfach gut für die Rekrutierung neuer Affiliates.“
Die Gruppe ist jedoch sicherlich nicht nur ein Hype. LockBit scheint sowohl in technische als auch logistische Innovationen zu investieren, um den Gewinn zu maximieren. Peter Mackenzie, Director of Incident Response bei der Sicherheitsfirma Sophos, sagt zum Beispiel, dass die Gruppe mit neuen Methoden experimentiert habe, um ihre Opfer unter Druck zu setzen, Lösegeld zu zahlen.
„Sie haben unterschiedliche Zahlungsmethoden“, sagt Mackenzie. „Sie könnten bezahlen, um Ihre Daten löschen zu lassen, bezahlen, um sie vorzeitig freizugeben, bezahlen, um Ihre Frist zu verlängern“, sagt Mackenzie und fügt hinzu, dass LockBit seine Zahlungsoptionen für jedermann geöffnet hat. Dies könnte zumindest theoretisch dazu führen, dass ein Konkurrenzunternehmen die Daten eines Ransomware-Opfers kauft. „Aus der Sicht des Opfers lastet zusätzlicher Druck auf ihm, was dazu beiträgt, dass die Leute zahlen müssen“, sagt Mackenzie.
Seit dem Debüt von LockBit haben seine Entwickler viel Zeit und Mühe in die Entwicklung seiner Malware investiert. Die Gruppe hat problematisch zwei große Aktualisierungen des Codes – LockBit 2.0, veröffentlicht Mitte 2021, und LockBit 3.0, veröffentlicht im Juni 2022. Die beiden Versionen sind auch als LockBit Red bzw. LockBit Black bekannt. Forscher sagen, dass die technische Entwicklung parallel zu Änderungen in der Funktionsweise von LockBit mit Affiliates geführt hat. Vor der Veröffentlichung von LockBit Black arbeitete die Gruppe mit einer exklusiven Gruppe von höchstens 25 bis 50 Partnern zusammen. Seit der Veröffentlichung von 3.0 hat sich die Bande jedoch erheblich geöffnet, was es schwieriger macht, die Anzahl der beteiligten Partner im Auge zu behalten, und es auch für LockBit schwieriger macht, die Kontrolle über das Kollektiv auszuüben.