Die Zerschlagung von Cyberkriminellen-Syndikaten tritt in eine neue Phase ein

Jetzt, da die Strafverfolgungsbehörden ihre Fähigkeit unter Beweis stellen, die Infrastruktur zu zerstören, die cyberkriminelle Syndikate für Angriffe nutzen, scheint der nicht enden wollende Kampf um die Cybersicherheit in eine neue Phase einzutreten.

Das Federal Bureau of Investigations (FBI) in den USA hat zusammen mit anderen internationalen Strafverfolgungsbehörden zwei Dutzend Server und neun Domains beschlagnahmt, die einer Ransomware-Bande namens Dislossessor, auch bekannt als Radar, gehören, die nach der Abschaltung einer anderen Cyberkriminellen Lockbit-Bande Anfang dieses Jahres seit ihrem ersten Auftauchen im letzten Jahr aktiver geworden war.

Tatsächlich soll Dispossessor mindestens 43 Organisationen rund um den Globus angegriffen haben, bevor die Behörden jeweils drei Server in den USA und Großbritannien sowie 18 weitere in Deutschland lahmlegten. Außerdem wurden acht kriminelle Domains mit Sitz in den USA und eine weitere in Deutschland beschlagnahmt.

Die Unterbrechung der Dispossessor-Operation ist die Beschlagnahme von Infrastruktur und Domains, die im letzten Jahr immer aggressiver geworden sind.  Am bemerkenswertesten unter diesen Bemühungen war die Abschaltung von LockBit, aber auch andere Gruppen wie Hive und BlackCat/ALPHV wurden in ähnlicher Weise gestört.

Einige dieser Cyberkriminellen-Banden konnten jedoch ihre Aktivitäten wieder aufnehmen, während andere zwar ihren Betrieb einstellten, aber im Grunde durch ein neues Syndikat ersetzt wurden. Dispossessor zum Beispiel wurde nach der Abschaltung von LockBit bekannt. Zuvor hatte die Gruppe lediglich mit der Verfügbarkeit von Daten geworben, die zuvor von Ransomware-Gruppen wie LockBit, Hunters International, Cl0p und 8base geleakt worden waren.

Das nächste Problem, mit dem Strafverfolgungsbeamte jetzt konfrontiert werden, besteht darin, dass cyberkriminelle Syndikate, sobald sie das Ausmaß erkannt haben, in dem die Strafverfolgungsbehörden ihre Operationen stören können, sicherstellen, dass sie Zugang zu zusätzlicher Infrastruktur und Domains haben, die auf Standby-Basis verfügbar sind. Die zum Neustart des Betriebs benötigte Zeit wird sich dadurch weiter verkürzen. Theoretisch könnten die Strafverfolgungsbehörden in der Lage sein, diese Standby-Infrastruktur zu identifizieren, bevor sie aktiviert wird, aber es wird eine große Herausforderung sein, sicherzustellen, dass sie vollständig deaktiviert wird. Unabhängig davon, wie viel von dieser Infrastruktur ausgeschaltet wird, werden Cyberkriminelle Syndikate immer widerstandsfähiger werden, indem sie viele der gleichen bewährten Verfahren anwenden, die moderne IT-Teams zur Gewährleistung der Anwendungsverfügbarkeit einsetzen.

Das bedeutet nicht, dass keine Anstrengungen unternommen werden sollten, um die Operationen von Cyberkriminellen zu stören, aber der Schwerpunkt muss weiterhin auf der Identifizierung und schließlich der Verhaftung der Täter liegen. Die Störung der IT-Infrastruktur ist in etwa das digitale Äquivalent zu den G-Men aus den 1920er Jahren, die ein Lagerhaus voller illegalem Alkohol überfallen, der anschließend in die Kanalisation geschüttet wird. Wenn niemand verhaftet wird, ziehen die Gangster einfach in ein anderes Lagerhaus um.

In der Zwischenzeit sollten Cybersicherheitsteams nicht davon ausgehen, dass die Abschaltung der Infrastruktur großer Cyberkrimineller mehr als eine kurze Atempause ist. Es gibt viele bösartige Akteure, die bereit sind, jede neue Lücke zu füllen. Der einzige wirkliche Unterschied besteht letztlich darin, dass Syndikate umso weniger organisiert sind, je neuer sie sind. Dies gilt im Vergleich zu etablierteren Syndikaten, die sich – ob gut oder schlecht – zu professionellen Dienstleistungsunternehmen entwickelt haben, mit denen Verhandlungen leichter zu führen sind.