Schwerer Schlag gegen LockBit, eine der gefährlichsten Ransomware-Banden. Auf der Hauptseite der russischen Cyberkriminellen prangt seit Montagabend eine Mitteilung der Polizei, die über die Beschlagnahmung informiert:
Gemäss Europol-Mitteilung haben sich Strafverfolgungsbehörden aus zehn Ländern zu einer internationalen Taskforce mit dem Namen «Operation Cronos» zusammengetan:
Laut Mitteilung vom Dienstagmittag gehören in der Schweiz die Bundespolizei Fedpol sowie die Zürcher Staatsanwaltschaft und die Kantonspolizei zur Taskforce.
Unterstützend mitgewirkt haben laut Europol Behörden in Finnland, Neuseeland, Polen und der Ukraine.
Cybercrime-Spezialisten des FBI ermitteln seit Jahren gegen die Ransomware-Bande, die auch in der Schweiz zahlreiche Unternehmen attackiert hat. Im Juni 2023 war die Kantonspolizei Zürich an einem von der US-Justiz geführten Schlag beteiligt und leistete in einem Strafverfahren gegen einen 20-jährigen russischen Staatsbürger Rechtshilfe.
Wie heise.de schreibt, könnte sich der Name der Operation auf die griechische Sagengestalt beziehen, die aus Angst vor Machtverlust die eigenen Kinder verspeiste.
Gemäss Bericht hatten Sicherheitsforscher in der vergangenen Woche einen internen Konflikt bei LockBit publik gemacht. Ein Partner der Bande habe sich betrogen gefühlt und daher in bekannten Online-Foren für Cyberkriminelle einen Bann gegen den LockBit-Chef erwirkt. Ob dieser Streit mit der nun erfolgten Operation der Strafverfolgungsbehörden zusammenhänge, sei jedoch vollkommen unklar.
Offenbar konnten IT-Spezialisten der Ermittlungsbehörden die Hacker hacken: Die Malware-Forschungsgruppe VX-Underground schreibt bei X (Twitter), dass die LockBit-Seiten im Darknet durch Ausnutzung einer kritischen Sicherheitslücke in PHP deaktiviert worden seien. Ein LockBit-Administrator soll den Hackerangriff selbst bestätigt haben.
Die Strafverfolgungsbehörden haben auch eine Notiz hinterlassen in einem passwortgeschützten internen Bereich der Plattform, der von LockBit-Partnern für die Steuerung der Cyberangriffe genutzt wurde. Dort schreiben die Ermittler, sie seien im Besitz des «Quellcodes, Einzelheiten zu den von Ihnen angegriffenen Opfern, dem erpressten Geldbetrag, den gestohlenen Daten, Chats und vielem mehr».
Gemäss Mitteilung auf der beschlagnahmten Darknet-Seite wollten die Behörden um 12.30 Uhr (MEZ) mehr Informationen zum Fall geben. Tatsächlich hat Europol inzwischen eine ausführliche Medienmitteilung zum Schlag gegen LockBit veröffentlicht. Darin ist von einem «bedeutenden Durchbruch im Kampf gegen die Cyberkriminalität» die Rede.
Die wichtigsten Punkte im Überblick:
Im Rahmen der Operation hat das FBI laut US-Medienberichten Zugang zu fast 1000 Entschlüsselungs-Schlüsseln erhalten. Diese an sich geheimen digitalen Schlüssel könnten eine Wiederherstellung verschlüsselter Daten und die Beendigung laufender LockBit-Erpressungen ermöglichen. Das FBI betreibt die Webseite lockbitvictims.ic3.gov, wo sich US-Opfer registrieren können, um Unterstützung zu erhalten.
Auf Ersuchen der französischen Justizbehörden sind laut Europol zwei LockBit-Akteure in Polen und der Ukraine verhaftet worden, wie Europol mitteilt. Drei internationale Haftbefehle und fünf Anklageschriften seien ebenfalls von den französischen und US-Justizbehörden ausgestellt worden.
Die US-Justiz hat am Dienstag die Anklageschriften gegen zwei russische Staatsangehörige wegen ihrer mutmasslichen Rolle bei LockBit-Cyberangriffen veröffentlicht: Es handle sich namentlich um Artur Sungatow und Ivan Gennadievich Kondratjew, bekannt unter dem Pseudonym «Bassterlord».
Die beiden Gesuchten seien nach wie vor auf freiem Fuss, und neben der Anklage vom Dienstag habe das US-Finanzministerium auch Sanktionen gegen sie verhängt.
Brett Leatherman, stellvertretender Direktor für Cyber-Operationen beim FBI, bezeichnete die Männer als «ursprüngliche Mitglieder, mindestens seit LockBit 1.0».
Das US-Aussenministerium werde ausserdem Belohnungen von bis zu 10 Millionen Dollar für Informationen ausloben, die zur Identifizierung oder zum Auffinden von LockBit-Anführern führen, sowie 5 Millionen Dollar für Informationen über Personen, die an LockBit-Aktivitäten beteiligt sind.
Die Ransomware-Bande hat ihren kriminellen Partnern offenbar eine ausführliche Mitteilung zukommen lassen, in der sie über das Vorgehen nach dem Polizei-Hack informiert. Ein Screenshot des Postings ist bei X publiziert worden.
Ironie der Geschichte: Die Cyberkriminellen haben nun angeblich ihrerseits eine Untersuchung gestartet, um herauszufinden, wie ihre Server gehackt werden konnten. Und betroffenen Geschäftspartnern wird Support angeboten.
Die jüngste Aktion wirft die Frage auf, wie hart LockBit getroffen wurde. Bei früheren Operationen gegen solche Gruppen wurden deren Aktivitäten vorübergehend unterbrochen, bevor sie mit neuer Infrastruktur zurückkehrten.
Die Operation gegen LockBit erfolgte zwei Monate nach einem Schlag der US-Justiz gegen eine andere gefährliche Ransomware-Bande aus Russland: ALPHV (alias BlackCat). Allerdings sind diese Cyberkriminellen noch immer aktiv.
LockBit ist seit September 2019 aktiv und gilt als die aktivste und berüchtigtste Ransomware-Banden der jüngeren Geschichte. Die Verantwortlichen setzen auf das Geschäftsmodell «Ransomware as a Service» (Raas), das heisst, sie bieten die für die Attacken und die Erpressung erforderliche technische Infrastruktur gegen Bezahlung Dritten an.
LockBit-Cyberangriffe forderten weltweit bisher mehr als 2000 Opfer, wobei sich die Attacken auf den Westen konzentrieren. Gemäss Schätzungen erpressten die Täter allein von US-Organisationen über 91 Millionen US-Dollar.
Die Ransomware-Bande ist dafür berüchtigt, mit neuen Methoden zu experimentieren, um Opfer zur Zahlung von Lösegeld zu zwingen, wie Europol schreibt. Die dreifache Erpressung («Triple Extortion») sei eine dieser Methoden: Abgesehen von der Verschlüsselung der Daten des Opfers auf den Servern selbst und der Drohung, gestohlene Daten weiterzugeben, setzten die Täter auch DDoS-Attacken – also Server-Überlastungsangriffe – als zusätzliches Druckmittel ein.
Die koordinierte Abschaltung der LockBit-Infrastruktur falle zeitlich mit der Festnahme eines 31-jährigen ukrainischen Staatsbürgers zusammen, hält heise.de fest. Der Mann habe sich zuvor unbefugten Zugriff auf Google-Konten und Online-Bankkonten von Opfer in Nordamerika verschafft.
Die am Dienstag enthüllten Anklageschriften sind laut US-Berichten bereits die Fälle vier und fünf, die seit 2022 gegen mutmassliche LockBit-Mitglieder angestrengt wurden:
