Innenansicht der Cyber-Undercover-Operation: Enthüllung des Administrators von LockBit
Anfang dieses Jahres beschlagnahmte die Polizei dieDark-Web-Seite der berüchtigten Ransomware-Gruppe LockBit, aber die Gruppe richtete schnell eine neue Seite ein. Im Mai gaben die Behörden bekannt, dass sie die Identität des Administrators von LockBit enthüllen würden, was einen Countdown auf der beschlagnahmten Seite auslöste. Der Cybersecurity-Forscher Jon DiMaggio von Analyst1 hatte bereits den Administrator LockBitSupp durch eine Undercover-Operation identifiziert, in der er sich als Cyberkrimineller ausgab, der Interesse hatte, der Gruppe beizutreten. DiMaggio schilderte seine Infiltration auf der Hacking-Konferenz Def Con in Las Vegas.
DiMaggios Vorgehensweise und Infiltration Um Einblicke zu gewinnen, erstellte DiMaggio mehrere gefälschte Konten, um die Mitglieder von LockBit zu beobachten und mit ihnen zu interagieren. Er erfuhr von ihren Vorlieben, Abneigungen und politischen Ansichten, um eine glaubwürdige persona als Cyberkrimineller aufzubauen. Zunächst von der Gruppe abgelehnt, pflegte er eine freundschaftliche Beziehung zu LockBitSupp und stellte lässige Fragen zu deren Operationen. Im Januar 2023 veröffentlichte DiMaggio einen Bericht über seine Erkenntnisse, der überraschenderweise nicht das Ende seiner Beziehung zu LockBitSupp bedeutete. Der Administrator verwendete sogar DiMaggios LinkedIn-Foto als Avatar in Hacker-Foren, was auf eine spielerische Rivalität hindeutet.
Intensive Bemühungen und Enthüllung DiMaggios Bemühungen intensivierten sich, nachdem die Polizei die LockBit-Seite abgeschaltet hatte. Er erhielt einen anonymen Hinweis, der ihn auf Dmitry Khoroshev als Identität von LockBitSupp brachte. Als die Behörden planten, dies zu enthüllen, kontaktierte DiMaggio das FBI, das ihm riet, zu warten, und bescheinigte ihm, dass er die richtige Person hatte. Danach bereitete er einen detaillierten Bericht über Khoroshev vor, den er nach der Bekanntgabe der Behörden veröffentlichte.
Folgen und Reflexionen DiMaggios Botschaft an Khoroshev war eine Warnung, sich von der Cyberkriminalität abzuwenden und betonte seinen Respekt vor ihrer gegnerischen Beziehung. Seitdem hat er nichts mehr von Khoroshev gehört. DiMaggio hofft, dass seine Geschichte zeigt, wie Forscher in Cyberkriminelle Gruppen eindringen können, um wertvolle Informationen zu sammeln, warnt jedoch auch vor möglichen Konsequenzen.
Wichtige Erkenntnisse
- Die Strafverfolgung übernahm Anfang 2024 kurzzeitig die Kontrolle über die Dark-Web-Seite von LockBit.
- Der Cybersecurity-Forscher Jon DiMaggio infiltrierte LockBit, indem er sich als Cyberkrimineller ausgab.
- DiMaggio identifizierte den Administrator von LockBit, Dmitry Khoroshev, bevor die Strafverfolgungsbehörden dies bekanntgaben.
- Die Infiltration umfasste die Erstellung gefälschter Identitäten und die Überwachung von Hacker-Konversationen.
- DiMaggios Beziehung zum Administrator von LockBit war komplex und beinhaltete sowohl Vertrauen als auch Täuschung.
Analyse
Die Beschlagnahme der LockBit-Dark-Web-Seite und die anschließenden Maßnahmen von Jon DiMaggio verdeutlichen die sich entwickelnden Taktiken im Cyberkrieg. Direkte Ursachen sind DiMaggios strategische Infiltration und der Druck der Strafverfolgung, während indirekte Ursachen das Katz-und-Maus-Spiel zwischen Cybersecurity-Experten und Cyberkriminellen umfassen. Kurzfristige Folgen sind gestörte Operationen für LockBit und erhöhte Wachsamkeit unter den Cyberkriminalitätsnetzwerken. Langfristig könnte dies zu ausgefeilteren Gegenmaßnahmen von beiden Seiten führen, was potenziell Cyberkonflikte verschärfen könnte. Betroffene Einrichtungen sind Cybersecurity-Firmen, Strafverfolgungsbehörden und Finanzinstitute, die mit den Folgen von Cyberkriminalität zu kämpfen haben.
Wusstest du schon?
-
Dark Web:
- Das Dark Web bezieht sich auf verschlüsselte Online-Inhalte, die von herkömmlichen Suchmaschinen nicht indexiert sind. Es ist hauptsächlich über spezielle Browser wie Tor zugänglich. Das Dark Web wird oft mit illegalen Aktivitäten in Verbindung gebracht und ist eine häufige Plattform für Cyberkriminelle, da es Anonymität bietet.
-
Ransomware:
- Ransomware ist eine Art von bösartiger Software, die den Zugriff auf ein Computersystem blockiert, bis eine Geldsumme gezahlt wird. Sie verschlüsselt normalerweise die Dateien des Opfers und fordert eine Zahlung für den Entschlüsselungsschlüssel. Ransomware-Angriffe sind eine erhebliche Bedrohung für sowohl Privatpersonen als auch Organisationen und verursachen erhebliche finanzielle und betriebliche Schäden.
-
Undercover-Operation in der Cybersecurity:
- Eine Undercover-Operation in der Cybersecurity beinhaltet, dass ein Forscher oder ein Strafverfolgungsbeamter in eine Cyberkriminelle Gruppe eindringt, indem er eine falsche Identität annimmt. Diese Methode wird verwendet, um Informationen zu sammeln, die Operationen der Gruppe zu verstehen und potenziell wichtige Mitglieder zu identifizieren. Es erfordert sorgfältige Planung und Ausführung, um glaubwürdig zu bleiben und nicht enttarnt zu werden.