Cybercrimebanden hacken und erpressen Unternehmen und Behörden am Laufmeter und einige von ihnen schrecken auch nicht davor zurück, IT-Systeme von Spitälern mit Verschlüsselungstrojanern (Ransomware) lahmzulegen.
Die Nummer eins im Geschäft mit Onlineerpressung ist die russischsprachige Ransomwaregruppe Lockbit. Niemand hackt mehr Firmen und Organisationen. Bis November 2022 wurde Lockbits gleichnamiger Verschlüsselungstrojaner laut US-Justizministerium gegen mehr als 1000 Opfer eingesetzt.
Nun aber entschuldigt sich ein Lockbit-Mitglied und schreibt auf der Darknet-Seite der Erpresser: «Ich schäme mich sehr.»
Was also ist passiert?
Vor einer Woche wurden auf der im Darknet erreichbaren Leak-Seite von Lockbit die Daten einer Kindertagesstätte aus den USA veröffentlicht. Üblicherweise werden auf der Seite – auch «Wall of Shame» genannt – gehackte Unternehmen oder Behörden blossgestellt. Der Onlinepranger soll die Opfer dazu bringen, das geforderte Lösegeld in Kryptowährung zu überweisen.
Als die Erpressungs-Hacker bemerkten, dass die Daten einer gemeinnützigen Betreuungseinrichtung für Kinder auf ihrer Seite veröffentlicht wurden, entschuldigte sich ein Mitglied der Gruppe und schrieb, dem verantwortlichen «Partner» sei der Zugang zur Verschlüsselungssoftware gesperrt worden.
Bei Lockbit handelt es sich wie bei anderen Ransomwarebanden um einen Dienstleister, der die Verschlüsselungssoftware bereitstellt, während Partner («Affiliates») die Hacks bei den Unternehmen durchführen, Daten kopieren und IT-Systeme verschlüsseln. Der Dienstleister (Lockbit) erhält anschliessend typischerweise 20 Prozent des allfälligen Lösegelds, die Partner streichen 80 Prozent ein. Bei Letzteren handelt es sich um spezialisierte Personen, die beispielsweise gut darin sind, nach IT-Schwachstellen zu suchen oder mit den Opfern Lösegeldverhandlungen zu führen.
Lockbit toleriert grundsätzlich Angriffe von Partnern gegen gemeinnützige Organisationen. In diesem Fall wurde der Partner aber offenbar von der weiteren Nutzung der Verschlüsselungssoftware ausgeschlossen, weil vom Datendiebstahl explizit Kinder betroffen sind.
Edelmütig ist die Reaktion der Cybergangster indes nicht: Wesentliche Einnahmen gehen den Kriminellen durch den Rückzieher und die kostenlose Bereitstellung der Entschlüsselungssoftware kaum durch die Lappen. Der Ransomwarebande dürfte es eher darum gehen, nicht noch weiter ins Fadenkreuz der Strafermittler zu gelangen.
Lockbit steht weit oben auf der Fahndungsliste des FBI, dies spätestens seit ein Partner im Dezember 2022 ein Kinderspital in Kanada mit dem Verschlüsselungstrojaner Lockbit 3.0 teils lahmlegte. Dies katapultierte die Ransomwaregruppe, die sonst lieber unter dem Radar fliegt, ins internationale Scheinwerferlicht.
Auch damals entschuldigte sich Lockbit, stellte das Entschlüsselungsprogramm allerdings erst rund zwei Wochen nach dem Hack zur Verfügung. Dies hätte fatale Konsequenzen haben können.
Die professionell auftretende Ransomwarebande hat analog zu Unternehmen Nutzungsbedingungen, welche den Einsatz ihrer Ransomware regeln. Demnach sind Pharmaunternehmen, Zahnärzte und plastische Chirurgen legitime Ziele, während die Verschlüsselung kritischer IT-Systeme von Spitälern, die den Tod von Menschen zur Folge haben könnten, untersagt sind.
Allerdings griff Lockbit in der Vergangenheit immer wieder medizinische Einrichtungen an. So habe ein Angriff in einem Spital in Frankreich dazu geführt, «dass Operationen verschoben oder in anderen medizinischen Einrichtungen durchgeführt werden mussten», berichtete das deutsche Techportal golem.de Anfang Jahr. In der Schweiz wurden in den vergangenen Jahren unter anderem erfolgreiche Cyberangriffe auf die private Spitalkette Hirslanden oder die Pallas-Klinik-Gruppe bekannt.
Mehrere Erpresserbanden haben in den letzten Jahren verkündet, dass Einrichtungen wie Kinderspitäler Tabu sein sollen. Ethische Überlegungen dürften dabei zweitrangig sein. Vielmehr geht es um die eigene Reputation, sprich PR. Die führenden Ransomwarebanden buhlen wie Unternehmen um Talente. Wer ein Herz für Kinder zeigt, macht sich sympathisch.
Das angebliche Durchgreifen gegenüber Partnern, welche gegen den Verhaltenskodex verstossen, signalisiert gegen Aussen, dass man seine Partner im Griff habe. Zudem ist es ein Zeichen gegenüber den Opfern, dass man wie ein gewöhnlicher Geschäftspartner professionell arbeite.
Ransomwarebanden mit eigener Software-Entwicklungsabteilung, Tech-Support und Lösegeldvermittlern geben sich einen seriösen Anstrich, damit sie bei Lösegeldverhandlungen als vertrauenswürdig wahrgenommen werden. Ein Opfer ist eher bereit zu bezahlen, wenn die Täter im Ruf stehen, die Daten zuverlässig wiederherzustellen.
Zu guter Letzt kann der Verhaltenskodex als Massnahme gesehen werden, das eigene kriminelle Netzwerk etwas aus der Schusslinie zu nehmen. Für Strafverfolgungsbehörden sind Ransomwarebanden, die Tote in Kauf nehmen, das dringendere Problem.
Die gehackte Kinderkrippe zeigt exemplarisch, dass Ransomwarebanden respektive ihre Partner in aller Regel nicht gezielt grosse Organisationen angreifen, sondern schlicht alles hacken, was sich leicht hacken lässt. Dies unabhängig davon, ob das Ziel lukrativ erscheint. Die Kriminellen werfen das Netz aus und was schlecht geschützt ist, bleibt hängen.
Lockbit ist seit Ende 2019 aktiv. Zu den bekanntesten Opfern zählen die Beratungsfirma Accenture, der Autozulieferer Continental und die Royal Mail, der grösste Postzustelldienst Grossbritanniens. Auch in der Schweiz haben die Hacker wiederholt zugeschlagen. Zu den Opfern gehören selbst religiöse Einrichtungen wie die Diakonissengemeinschaft in Riehen BS.
Die Ransomwarebande konzentrierte sich bislang auf die im Geschäftsbereich vorherrschenden Windows- und Linux-Systeme. Im April 2023 tauchte die erste Lockbit-Testversion für macOS auf. «Das offizielle Sprachrohr der Cybergangster bestätigte zudem, dass Lockbit für macOS derzeit in der aktiven Entwicklung sei», berichtete das deutsche Techportal heise.de.
Lockbit kooperiert wie andere führende Ransomwarehersteller mit Partnern, welche die Verschlüsselungssoftware für eigene Attacken mieten und nutzen können. Diese müssen die entsprechende Schadsoftware somit nicht selbst entwickeln. Man spricht im Fachjargon von Ransomware-as-a-Service, kurz RaaS, da Lockbit die gesamte Infrastruktur zur Verfügung stellt: Verschlüsselungs- und Entschlüsselungsprogramm, Website, Chat-System für Lösegeldverhandlungen, Tech-Support etc.
Eine moderne Ransomwarebande funktioniert somit ähnlich wie ein Internetkonzern, der seine Cloud-Dienste anderen Firmen oder Privaten im Abo-Modell zur Verfügung stellt. Die Lockbit-Software gilt hierbei als besonders nutzerfreundlich, was ihre hohe Popularität bei Kriminellen erklärt.
