Digital
Analyse

Erpressungs-Hacker: «Ich schäme mich sehr»

Auf der Darknet-Seite der Cybergang Lockbit wurden gestohlene Daten einer US-Kindertagesstätte veröffentlicht.
Auf der Darknet-Seite der Cybergang Lockbit wurden gestohlene Daten einer US-Kindertagesstätte veröffentlicht.screenshot: watson
Analyse

Berüchtigte Erpresserbande hackt Kinderkrippe und entschuldigt sich – das steckt dahinter

Die gefährliche Hackerbande Lockbit entschuldigt sich für einen Ransomwareangriff auf eine US-Kindertagesstätte, bei dem Daten gestohlen und Computersysteme verschlüsselt wurden. Mit Nächstenliebe hat dies nichts zu tun.
04.05.2023, 12:3804.05.2023, 13:10
Mehr «Digital»

Cybercrimebanden hacken und erpressen Unternehmen und Behörden am Laufmeter und einige von ihnen schrecken auch nicht davor zurück, IT-Systeme von Spitälern mit Verschlüsselungstrojanern (Ransomware) lahmzulegen.

Die Nummer eins im Geschäft mit Onlineerpressung ist die russischsprachige Ransomwaregruppe Lockbit. Niemand hackt mehr Firmen und Organisationen. Bis November 2022 wurde Lockbits gleichnamiger Verschlüsselungstrojaner laut US-Justizministerium gegen mehr als 1000 Opfer eingesetzt.

Nun aber entschuldigt sich ein Lockbit-Mitglied und schreibt auf der Darknet-Seite der Erpresser: «Ich schäme mich sehr.»

Was also ist passiert?

Vor einer Woche wurden auf der im Darknet erreichbaren Leak-Seite von Lockbit die Daten einer Kindertagesstätte aus den USA veröffentlicht. Üblicherweise werden auf der Seite – auch «Wall of Shame» genannt – gehackte Unternehmen oder Behörden blossgestellt. Der Onlinepranger soll die Opfer dazu bringen, das geforderte Lösegeld in Kryptowährung zu überweisen.

Als die Erpressungs-Hacker bemerkten, dass die Daten einer gemeinnützigen Betreuungseinrichtung für Kinder auf ihrer Seite veröffentlicht wurden, entschuldigte sich ein Mitglied der Gruppe und schrieb, dem verantwortlichen «Partner» sei der Zugang zur Verschlüsselungssoftware gesperrt worden.

Das Statement der Erpresserbande

«Bitte verzeihen Sie, dass ich den Angriff auf kleine, unschuldige Kinder zugelassen habe. Die gestohlenen Daten wurden gelöscht. Um das Entschlüsselungstool zu erhalten, geben Sie mir bitte die Entschlüsselungs-ID. Ich schäme mich sehr, aber ich kann nicht alle Partner kontrollieren, jeder kann meinem Partnerprogramm beitreten und auch die Regeln brechen, ich habe diesen Partner blockiert.»
Lockbit-Mitglieddarknet-seite der ransomwarebande lockbit
Das «Keystone SMILES Community Learning Center» im US-Bundesstaat Pennsylvania wurde gehackt und Daten der Kinder veröffentlicht.
Das «Keystone SMILES Community Learning Center» im US-Bundesstaat Pennsylvania wurde gehackt und Daten der Kinder veröffentlicht.screenshot: watson

Bei Lockbit handelt es sich wie bei anderen Ransomwarebanden um einen Dienstleister, der die Verschlüsselungssoftware bereitstellt, während Partner («Affiliates») die Hacks bei den Unternehmen durchführen, Daten kopieren und IT-Systeme verschlüsseln. Der Dienstleister (Lockbit) erhält anschliessend typischerweise 20 Prozent des allfälligen Lösegelds, die Partner streichen 80 Prozent ein. Bei Letzteren handelt es sich um spezialisierte Personen, die beispielsweise gut darin sind, nach IT-Schwachstellen zu suchen oder mit den Opfern Lösegeldverhandlungen zu führen.

Warum entschuldigen sich die Cybergangster?

Lockbit toleriert grundsätzlich Angriffe von Partnern gegen gemeinnützige Organisationen. In diesem Fall wurde der Partner aber offenbar von der weiteren Nutzung der Verschlüsselungssoftware ausgeschlossen, weil vom Datendiebstahl explizit Kinder betroffen sind.

Edelmütig ist die Reaktion der Cybergangster indes nicht: Wesentliche Einnahmen gehen den Kriminellen durch den Rückzieher und die kostenlose Bereitstellung der Entschlüsselungssoftware kaum durch die Lappen. Der Ransomwarebande dürfte es eher darum gehen, nicht noch weiter ins Fadenkreuz der Strafermittler zu gelangen.

Lockbit steht weit oben auf der Fahndungsliste des FBI, dies spätestens seit ein Partner im Dezember 2022 ein Kinderspital in Kanada mit dem Verschlüsselungstrojaner Lockbit 3.0 teils lahmlegte. Dies katapultierte die Ransomwaregruppe, die sonst lieber unter dem Radar fliegt, ins internationale Scheinwerferlicht.

Auch damals entschuldigte sich Lockbit, stellte das Entschlüsselungsprogramm allerdings erst rund zwei Wochen nach dem Hack zur Verfügung. Dies hätte fatale Konsequenzen haben können.

Cybergangster mit Verhaltenskodex

Die professionell auftretende Ransomwarebande hat analog zu Unternehmen Nutzungsbedingungen, welche den Einsatz ihrer Ransomware regeln. Demnach sind Pharmaunternehmen, Zahnärzte und plastische Chirurgen legitime Ziele, während die Verschlüsselung kritischer IT-Systeme von Spitälern, die den Tod von Menschen zur Folge haben könnten, untersagt sind.

Allerdings griff Lockbit in der Vergangenheit immer wieder medizinische Einrichtungen an. So habe ein Angriff in einem Spital in Frankreich dazu geführt, «dass Operationen verschoben oder in anderen medizinischen Einrichtungen durchgeführt werden mussten», berichtete das deutsche Techportal golem.de Anfang Jahr. In der Schweiz wurden in den vergangenen Jahren unter anderem erfolgreiche Cyberangriffe auf die private Spitalkette Hirslanden oder die Pallas-Klinik-Gruppe bekannt.

Kriminelle mit einem Gewissen?

Mehrere Erpresserbanden haben in den letzten Jahren verkündet, dass Einrichtungen wie Kinderspitäler Tabu sein sollen. Ethische Überlegungen dürften dabei zweitrangig sein. Vielmehr geht es um die eigene Reputation, sprich PR. Die führenden Ransomwarebanden buhlen wie Unternehmen um Talente. Wer ein Herz für Kinder zeigt, macht sich sympathisch.

Das angebliche Durchgreifen gegenüber Partnern, welche gegen den Verhaltenskodex verstossen, signalisiert gegen Aussen, dass man seine Partner im Griff habe. Zudem ist es ein Zeichen gegenüber den Opfern, dass man wie ein gewöhnlicher Geschäftspartner professionell arbeite.

Ransomwarebanden mit eigener Software-Entwicklungsabteilung, Tech-Support und Lösegeldvermittlern geben sich einen seriösen Anstrich, damit sie bei Lösegeldverhandlungen als vertrauenswürdig wahrgenommen werden. Ein Opfer ist eher bereit zu bezahlen, wenn die Täter im Ruf stehen, die Daten zuverlässig wiederherzustellen.

Zu guter Letzt kann der Verhaltenskodex als Massnahme gesehen werden, das eigene kriminelle Netzwerk etwas aus der Schusslinie zu nehmen. Für Strafverfolgungsbehörden sind Ransomwarebanden, die Tote in Kauf nehmen, das dringendere Problem.

Keiner zu klein, ein Ransomwareopfer zu sein

Die gehackte Kinderkrippe zeigt exemplarisch, dass Ransomwarebanden respektive ihre Partner in aller Regel nicht gezielt grosse Organisationen angreifen, sondern schlicht alles hacken, was sich leicht hacken lässt. Dies unabhängig davon, ob das Ziel lukrativ erscheint. Die Kriminellen werfen das Netz aus und was schlecht geschützt ist, bleibt hängen.

Lockbit ist seit Ende 2019 aktiv. Zu den bekanntesten Opfern zählen die Beratungsfirma Accenture, der Autozulieferer Continental und die Royal Mail, der grösste Postzustelldienst Grossbritanniens. Auch in der Schweiz haben die Hacker wiederholt zugeschlagen. Zu den Opfern gehören selbst religiöse Einrichtungen wie die Diakonissengemeinschaft in Riehen BS.

Lockbit und kein Ende in Sicht

Die Ransomwarebande konzentrierte sich bislang auf die im Geschäftsbereich vorherrschenden Windows- und Linux-Systeme. Im April 2023 tauchte die erste Lockbit-Testversion für macOS auf. «Das offizielle Sprachrohr der Cybergangster bestätigte zudem, dass Lockbit für macOS derzeit in der aktiven Entwicklung sei», berichtete das deutsche Techportal heise.de.

Lockbit kooperiert wie andere führende Ransomwarehersteller mit Partnern, welche die Verschlüsselungssoftware für eigene Attacken mieten und nutzen können. Diese müssen die entsprechende Schadsoftware somit nicht selbst entwickeln. Man spricht im Fachjargon von Ransomware-as-a-Service, kurz RaaS, da Lockbit die gesamte Infrastruktur zur Verfügung stellt: Verschlüsselungs- und Entschlüsselungsprogramm, Website, Chat-System für Lösegeldverhandlungen, Tech-Support etc.

Eine moderne Ransomwarebande funktioniert somit ähnlich wie ein Internetkonzern, der seine Cloud-Dienste anderen Firmen oder Privaten im Abo-Modell zur Verfügung stellt. Die Lockbit-Software gilt hierbei als besonders nutzerfreundlich, was ihre hohe Popularität bei Kriminellen erklärt.

Opfer einer Ransomware-Attacke? Darum sollten Betroffene nicht bezahlen
Das Nationale Zentrum für Cybersicherheit NCSC rät von der Zahlung eines Lösegeldes ab und warnt: «Es gibt keine Garantie, dass die Verbrecher nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus schlagen. Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.»

Sollten Opfer dennoch das Bezahlen von Lösegeld in Erwägung ziehen, empfiehlt das NCSC dringend, diese Schritte mit der Kantonspolizei zu diskutieren.

Auf der Webseite https://www.nomoreransom.org/ gibt es Tipps, um die Schadsoftware zu identifizieren und die Möglichkeit, bereits bekannte Schlüssel herunterzuladen. Nomoreransom.org ist ein gemeinsames Projekt der niederländischen Polizei und von Europol, an dem sich auch die Schweizerische Eidgenossenschaft beteiligt.
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Virales TikTok-Video zeigt, wo die selbstfahrenden Autos (noch) an ihre Grenzen stossen
Video: watson
Das könnte dich auch noch interessieren:
7 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
7
Darum will Instagram Nacktbilder in Direktnachrichten verstecken
Der Jugendschutz auf Social-Media-Plattformen wie Instagram steht schon lange in der Kritik. Mark Zuckerbergs US-Konzern Meta plant nun verbesserte Sicherheitsmassnahmen – ausgerechnet mit KI.

Der US-Konzern Meta hat einen besseren Schutz von minderjährigen Nutzerinnen und Nutzern vor sexueller Erpressung angekündigt. Meta teilte am Donnerstag mit, es werde erprobt, eine von künstlicher Intelligenz (KI) unterstützte Software einzusetzen.

Zur Story