Keine schützende Anonymität mehr: Die Identität des mutmasslichen LockBit-Gründers ist durch die Ermittlungsbehörden offengelegt worden. Bild: watson
Analyse
Seit Jahren attackiert die Ransomware-Bande LockBit scheinbar unaufhaltsam Ziele im Westen und richtet dabei Schäden in Milliardenhöhe an. Doch nun könnte sich das Blatt wenden.
19.05.2024, 05:0719.05.2024, 14:39
Es gibt keine Ehre unter Cyberkriminellen. Dies zeigt sich besonders eindrücklich am Fall des Mannes, der als Kopf der Ransomware-Bande LockBit gilt.
LockBit ist nicht irgendeine Erpresserbande. Sie hat gemäss den vorliegenden Erkenntnissen in den letzten Jahren den weltweit grössten Schaden angerichtet.
Die unter dem LockBit-Label verübten Hackerangriffe und Daten-Leaks haben zahlreiche Firmen und staatliche Organisationen ins Elend gestürzt. Die Cyberkriminellen schreckten auch nicht vor Attacken zurück, die kritische Infrastruktur wie Spitäler und andere gesellschaftlich wichtige Institutionen lahmlegten.
Als hauptverantwortlich gilt ein 31-jähriger Russe, dessen Identität kürzlich offengelegt wurde. Auf ihn ist ein Kopfgeld von 10 Millionen Dollar ausgesetzt.
Die Ermittler haben aber auch die Jagd auf seine Komplizen und Mittäter eröffnet. Und die grösste Gefahr droht dem LockBit-Boss aus der eigenen Heimat.
Wer sich mit ihr anlegt, hat ein Problem
Nicole Argentieri machte sich als unerschrockene Mafiajägerin im New Yorker Stadtteil Brooklyn einen Namen. Inzwischen hat die Amerikanerin als stellvertretende Generalstaatsanwältin des US-Justizministeriums ein Heer aus gut 1400 Bundesanwälten und Mitarbeitenden im Rücken, wie der «Blick» schrieb.
Argentieri und ihr Team zeichneten dafür verantwortlich, dass der frühere Chef der weltgrössten Kryptowährungsbörse Binance im vergangenen Jahr verurteilt wurde. Und sie gilt als Schreck der Schweizer Rohstoffkonzerne, nachdem gegen Glencore und Co. eine Milliardenstrafe wegen Korruption verhängt wurde.
Und nun geht es also LockBit an den Kragen. Am Dienstag vergangener Woche verkündete Argentieri vor laufenden Kameras, dass die Jagd auf «eine der gefährlichsten Ransomware-Organisationen der Welt» einen wichtigen Schritt weitergekommen sei.
Hier erklärt Nicole Argentieri, wie die US-Justiz gegen den LockBit-Boss und seine Mittäter vorgeht:
Anzumerken ist, dass die stellvertretende US-Generalstaatsanwältin das öffentliche Gesicht einer grossangelegten internationalen Kooperation ist.
Nur dank Teamwork und unermüdlichen Ermittlern in vielen Ländern ist es gelungen, LockBit zu enttarnen – und vielleicht entscheidend zu schwächen.
Zuvor hatte der russische Cyberkriminelle, der sich offenbar sehr sicher fühlte, im Darknet scherzhaft ein Preisgeld ausgelobt für die Offenlegung seiner Identität. Inzwischen hat er auch auf die Enthüllungen der Justizbehörden reagiert und behauptet, es handle sich bei der gesuchten Person nicht um ihn (siehe unten).
Wer steckt dahinter?
Der Name des Mannes, der LockBit zur bekanntesten Ransomware-Bande gemacht hat, lautet Dmitry Yuryevich Khoroshev. So zumindest steht es in der US-Anklageschrift und auf dem FBI-Steckbrief. Und dies deckt sich mit Online-Recherchen unabhängiger Fachleute, auch «Open Source Intelligence» (OSINT) genannt.
Screenshot: justice.gov
In der vergangenen Woche verkündeten die Justizbehörden der USA, Grossbritanniens und Australiens, dass sie den Russen als Anführer der LockBit-Ransomware-Gruppe jagen und zur Strecke bringen wollen.
- Das US-Justizministerium hat gegen Khoroshev Anklage erhoben wegen 26 Straftaten, darunter Erpressung und Überweisungsbetrug. Ihm drohen bei einer Verurteilung bis zu 185 Jahre Gefängnis.
- Khoroshev habe LockBit als «Ransomware as a Service» (RaaS) betrieben. Das heisst, er bot kriminellen Partnern (sogenannten Affiliates) gegen Bezahlung die technische Infrastruktur für eigene Hackerangriffe und damit verbundene Erpressungen an.
- Der 31-jährige Russe ist ein IT-Crack. Er beherrscht die Programmiersprachen Assembler, C und C++ und hat sich in jungen Jahren auf die Entwicklung von Windows-Schadsoftware (Malware) konzentriert.
- Es deutet einiges darauf hin, dass sich Khoroshev schon vor dem Start von LockBit (2019) intensiv mit Ransomware befasste. Sein technisches Wissen stamme eindeutig von jemandem, der jahrelange Erfahrung beim Aufbau und Einsatz von Ransomware-Varianten gegen echte Opferorganisationen habe, hält der IT-Sicherheitsexperte Brian Krebs fest.
- Die US-Justiz hat mindestens fünf weitere mutmassliche LockBit-Mitglieder oder Geschäftspartner angeklagt und sanktioniert. Zwei sind bereits in Untersuchungshaft und warten auf ihren Prozess.
- Seit LockBit im September 2019 im Darknet auftauchte, wurden tausende Opfer in mindestens 120 Ländern erfolgreich attackiert. Der wirtschaftliche Schaden geht in die Milliarden. Khoroshev und andere Mitverschwörer kassierten angeblich mindestens 500 Millionen US-Dollar Lösegeld. Der finanzielle Anteil des LockBit-Chefs betrug jeweils 20 Prozent.
Kaum war der Name bekannt, machten sich OSINT-Spezialisten an die Recherche und stiessen auf viele digitale Spuren, die Khoroshev online hinterlassen hat.
Anmerkung: Bis zur Verurteilung durch ein Gericht gilt für alle Beschuldigten die Unschuldsvermutung.
Warum führen alle Spuren nach Russland?
Der renommierte IT-Sicherheitsexperte Brian Krebs bringt es auf den Punkt: Die Ermittler verfügten wahrscheinlich über eine umfangreiche Liste der verschiedenen Kryptowährungs-Konten des LockBit-Anführers – und wohl auch seiner Bankkonten in Russland. Gewisse Insider-Informationen könnten von der NSA und weiteren Geheimdiensten stammen und es sei davon auszugehen, dass längst nicht alles öffentlich bekannt sei.
Der mutmassliche LockBit-Chef hat früher in Hacker-Foren das Pseudonym «putinkrab» – auf Deutsch «Putin-Krabbe» – verwendet.
Khoroshev schien sich sehr sicher zu fühlen. Und das hat massgeblich mit dem mächtigsten Russen zu tun, Wladimir Putin. Der wegen Kriegsverbrechen international gesuchte Kreml-Chef hält schützend seine Hand über Cyberkriminelle, solange diese ihre Attacken gegen Russlands Gegner im Ausland richten. Tatsächlich deutet viel darauf hin, dass mehrere grosse Ransomware-Gruppierungen von der Russischen Föderation aus agieren – und das unbehelligt von der dortigen Polizei.
LockBit bekam den Hals nicht voll – von Boeing wollte er 200 Millionen Dollar erpressen
Wie Europol mitteilte, zeigten die Untersuchungen der beschlagnahmten LockBit-Infrastruktur, dass zwischen Juni 2022 und Februar 2024 mehr als 7000 Cyberangriffe über die Plattform durchgeführt wurden.
Ein besonders krasser Fall ist der Hackerangriff auf das US-amerikanische Luftfahrt- und Rüstungsunternehmen Boeing und die anschliessende Erpressung im Oktober 2023. Wie der Konzern bestätigte, forderte LockBit eine Lösegeldsumme von 200 Millionen US-Dollar. Da die Verantwortlichen die Zahlung verweigerten, wurden 43 Gigabyte (GB) an Daten im Darknet geleakt.
Anzumerken ist, dass die US-Sanktionen den Justizbehörden erlauben, auch zivilrechtliche Strafen gegen Personen oder Firmen zu verhängen, die Zahlungen an die LockBit-Gruppe leisten oder ermöglichen.
Auch Opfer, die Lösegeld bezahlten, müssen mit dem Schlimmsten rechnen
Es ist ein weiterer Tiefschlag für Organisationen, die von LockBit erpresst wurden: Die von einem erfolgreichen Hackerangriff betroffenen Firmen und Institutionen bezahlten zähneknirschend die geforderte Summe und mussten sich darauf verlassen, dass die Täter die gestohlenen (wertvollen) Daten löschten. Doch im Zuge der Ermittlungen gegen die Ransomware-Bande bestätigte sich, wovor die Fachleute warnten und was wir eigentlich alle wussten: Es gibt keine Ehre unter Dieben.
Gemäss US-Anklageschrift wurden die gestohlenen Opfer-Dateien nicht von den LockBit-Servern gelöscht, obwohl dies immer wieder versprochen worden war. Sprich: Schützenswerte Informationen sind weiter in krimineller Hand.
Ein weiteres Phänomen, das aus Sicht der Opfer und aus gesamtgesellschaftlicher Perspektive zu denken geben muss, sind die neu aufgekommenen Zweitverwerter von gestohlenen Daten, sogenannte Data Broker.
Entsprechende Angebote werden in einschlägigen Telegram-Gruppen und sogar im Clearweb aufgelistet. Etwa durch den im Februar 2024 aufgetauchten Dienst «Dispossessor». Die unbekannten Hintermänner behaupteten zunächst, sie würden die Daten von rund 330 LockBit-Opfern weiterverkaufen. Dann zeigte sich, dass sie auch Leaks von anderen Ransomware-Banden wie Cl0p, Hunters International oder 8base ausnutzten.
Das alarmierende Fazit der IT-Sicherheitsfirma Sentinel One: Da die Bedrohungsakteure die exfiltrierten Dateien nicht löschten, sei die Wahrscheinlichkeit hoch, dass diese Daten zur erneuten Erpressung der Opfer und für weitere illegale Zwecke missbraucht würden.
Der LockBit-Boss lebt jetzt sehr gefährlich
Aus der US-Anklageschrift geht hervor:
Der LockBit-Chef und seine kriminellen Partner attackierten und erpressten auch mehrere Opfer in Russland. Und dies, obwohl sie öffentlich immer das Gegenteil behaupteten.
Fragt sich, warum die russischen Justizbehörden untätig bleiben? Die plausible Erklärung: Das Putin-Regime nimmt solche innerrussischen Angriffe als Kollateralschäden in Kauf, solange LockBit im verhassten Westen einen weitaus grösseren Schaden anrichtet.
Weitaus gefährlicher für den nun enttarnten LockBit-Chef könnte jedoch sein Umgang mit den kriminellen Geschäftspartnern und Konkurrenten werden.
Aus der US-Anklageschrift erfahren wir:
«Kurz nach der Operation vom Februar 2024 versuchte Koroschew, die Vormachtstellung von LockBit wiederherzustellen und seine Konkurrenz im kriminellen RaaS-Bereich zu unterdrücken, indem er mit den Strafverfolgungsbehörden kommunizierte und seine Dienste im Austausch für Informationen über die Identität seiner RaaS-Konkurrenten anbot. Konkret bat Khoroshev die Strafverfolgungsbehörden während dieses Austauschs darum, ‹mir die Namen meiner Feinde zu geben›».
Sprich: Der LockBit-Chef war bereit, andere russische Cyberkriminelle ans Messer zu liefern. Und wir wissen nur zu gut, was die Unterwelt mit «Ratten» macht.
Kommt hinzu, dass Khoroshev wohl auch bei der eigenen Operationssicherheit («Op Sec») pfuschte.
In einigen Fällen verlangte Khoroshev von seinen kriminellen Partnern Ausweiskopien, die er auf seinen eigenen Servern speicherte. Auch diese Daten fielen den Ermittlern in die Hände.
Kann er gestoppt werden? Das unlösbare Problem der «Ghost Groups»
Tatsache ist, dass im Darknet neue LockBit-Seiten zugänglich sind, die authentisch wirken. Und dort werden laufend neue Opfer der Bande aufgeführt.
Der Administrator der LockBit-Infrastruktur im Darknet hatte sich schon kurz nach Publikwerden der Operation Cronos in einer ausführlichen Stellungnahme an seine kriminellen Partner, aber auch an die Strafverfolgungsbehörden und die Öffentlichkeit gewendet.
- Er behauptete, er habe es versäumt, die eigenen Systeme auf dem neuesten Stand zu halten, weil er «faul» und selbstgefällig geworden sei.
- Eigene Versäumnisse hätten es den Ermittlern ermöglicht, Teile der IT-Infrastruktur zu hacken. Betroffen seien nur Server, auf denen eine veraltete und deshalb angreifbare Version der Skriptsprache PHP lief.
- Die von den Ermittlern erbeuteten Server-Daten würden nicht zur Verhaftung von Kernmitgliedern der Bande oder krimineller Partner (Affiliates) führen, behauptete der LockBit-Administrator. Bei bereits verhafteten Personen handle es sich um kleine Fische.
- Die Ermittler hätten nur einen Teil der Schlüssel beschlagnahmt, mit denen verschlüsselte Opferdaten entschlüsselt werden können.
In den kommenden Wochen und Monaten wird sich zeigen, ob es zu weiteren erfolgreichen Polizeiaktionen, Beschlagnahmungen und Verhaftungen kommt.
Der LockBit-Chef will angeblich wie gewohnt weitermachen und mindestens 1 Million Opfer attackieren. Ob er das dafür erforderliche Vertrauen anderer Cyberkrimineller noch geniesst, ist aber mehr als fraglich.
Die Sicherheitsforscher Yelisey Bohuslavskiy und Marley Smith, die für die IT-Firma RedSense arbeiten, haben sich in den letzten Jahren intensiv mit LockBit beschäftigt. Sie kommen zum Schluss, dass LockBit nur dank sogenannter Geistergruppen so erfolgreich war.
«Eine Ghost Group ist eine Gruppierung, die über sehr hohe Fähigkeiten verfügt, diese aber auf eine andere Marke überträgt.»
Der Befund der beiden Cybersecurity-Experten in einem im Frühjahr publizierten Bericht lässt aufhorchen: LockBit sei nur eine Art Schachtelpuppe (auch Matroschka genannt) mit drei verschiedenen Schichten:
- An der Oberfläche, der ersten Schicht, erscheine LockBit als grosser, etablierter Anbieter von «Ransomware as a Service» (RaaS). Eine Bande, die mit Dutzenden von «Affiliates» (Partnern) kooperiere. Diese attackierten chaotisch und zufällig sehr viele Opfer und kämen auch häufig nicht zum Ziel.
- In der zweiten Schicht sei LockBit ein PR-Stunt und merkwürdigerweise wenig leistungsfähig: So habe es immer wieder scheinbar interne Querelen gegeben, etwa um fehlende Zahlungen, ständige Betrügereien und den Hauptadministrator, der unter dem Pseudonym «LockBitSupp» agierte. Dies diente aber nur der Ablenkung vom eigentlichen Betrieb und sollte so viel öffentliche Aufmerksamkeit wie möglich auf den Darknet-Blog von LockBit lenken.
- Die dritte und innerste Schicht ist die gefährlichste: Der im Hintergrund agierende LockBit-Administrator habe sich «ein System persönlicher Allianzen» mit Cybercrime-Spitzengruppen aufgebaut und leihe sich quasi deren Elitehacker (sie nennen sich verharmlosend Pentester) für LockBit-Attacken aus.
- Es handle sich um technisch versierte Cyberkriminelle, die «Big Game Hunting» (BGH) betreiben, die also grosse und lukrative Ziele im Westen mit massgeschneiderten Hackerangriffen kompromittieren, wertvolle Daten stehlen und erpressen. Und diese Gruppierungen, die unter anderen Namen agierten, kooperierten bislang im Geheimen mit LockBit.
Diese Grafik soll die LockBit-Allianzen mit anderen Ransomware-Banden und Entwicklern illustrieren.Bild: RedSense
Der IT-Sicherheitsexperte Bob McArdle von Trend Micro hat eine Vermutung, warum Khoroshev trotz der massiven Ermittlungserfolge weitermachen will.
«Was LockBit von allen anderen Ransomware-Anbietern abhob, war die eigene Marke. Andere Ransomware hatte eine schnellere Verschlüsselung oder schönere Benutzeroberflächen für die Kriminellen. Aber LockBit war im Grunde genommen Marktführer und hatte die bekannteste Marke.
Wenn man die Marke angreift, bleibt nichts anderes übrig. Sie sind nicht das leistungsstärkste Produkt, sie sind nichts anderes. LockBit hat keine Wahl – das Alleinstellungsmerkmal ist der Name. Das ist es, woran sie mit aller Kraft festhalten wollen.»
quelle: techtarget.com
Was bisher passiert ist
(Chronologie)
Die jüngsten Ereignisse rund um LockBit:
- 19. Februar 2024: Auf der Darknet-Seite der Ransomware-Bande LockBit prangt plötzlich ein Banner, das über die Beschlagnahmung von Servern der Cyberkriminellen durch die Polizei informiert.
- 20. Februar: Justizbehörden in den USA und Grossbritannien informieren über die «Operation Cronos», die sich gegen LockBit richtet. Es handle sich um «einen bedeutenden Durchbruch im Kampf gegen die Cyberkriminalität», schreibt Europol. Ermittler aus 10 Ländern hätten die kriminellen Machenschaften der Gruppe «auf allen Ebenen gestört und deren Fähigkeiten und Glaubwürdigkeit schwer beschädigt».
Polizei-Banner auf der LockBit-Hauptseite.Screenshot: watson
- Über mehrere Monate hinweg haben Ermittler die Kernplattform und kritische Infrastruktur von LockBit im Darknet infiltriert. Insgesamt haben sie 34 Server ins Visier genommen, die über mehrere Länder verstreut waren, darunter die Schweiz, Deutschland, Frankreich, Grossbritannien, die Niederlande und Finnland, aber auch die USA und Australien.
- Hierzulande sind die Zürcher Staatsanwaltschaft und die Kantonspolizei in den Fall involviert. Zu den Ermittlungen schweigen die Verantwortlichen.
- 21. bis 23. Februar: Auf der LockBit-Hauptseite im Darknet veröffentlichen britische Strafverfolger von der National Crime Agency (NCA) eigene Postings. So wird versucht, die Ransomware-Bande in ein schlechtes Licht zu rücken und kriminelle Partner, mit denen sie kooperiert, zu verunsichern.
- Die Ermittler erklären, dass sie die Identität des Hauptadministrators kennen – die Person, die sich hinter dem Pseudonym «LockBitSupp» verbirgt. Und: Die Gruppe sei «vollständig kompromittiert».
- In Europa werden drei Männer verhaftet wegen mutmasslicher Beteiligung an LockBit-Aktivitäten: Einer der Tatverdächtigen befindet sich in Polen, zwei weitere – ein Vater und dessen Sohn – in der Ukraine.
- 24. Februar: LockBit nimmt im Darknet eine neue IT-Infrastruktur in Betrieb und veröffentlicht eine ausführliche Stellungnahme. Darin werden die Folgen der internationalen Polizeiaktion gegen die Bande heruntergespielt und kriminelle Partner zu vermehrten Attacken gegen staatliche Institutionen aufgerufen.
- Ende Februar: Auf der neuen LockBit-Leak-Seite werden zahlreiche, angeblich neue Opfer aufgelistet. Laut Sicherheitsexperten handelt es sich bei einzelnen Namen um ältere, bereits bekannte Opfer.
- Gemäss Angaben der Secureworks Counter Threat Unit werden auf der neuen LockBit-Website 44 neue Opfer und 25 aktualisierte Opfer aufgeführt, von denen die meisten wirklich neu seien.
- 15. März: In einem Exklusiv-Interview behauptet die hauptverantwortliche Person hinter den LockBit-Operationen, dass sie bei der Operation Cronos nicht so schwer getroffen wurde, wie von den Strafverfolgern behauptet. Der LockBit-Chef: «Kurzfristig werden die Gewinne sinken. Langfristig werde ich beweisen, dass mich nicht einmal das FBI aufhalten kann.»
- April: Fachleute der IT-Sicherheitsfirma Trend Micro kommen in einer Analyse zum Schluss, dass LockBit einen massiven Image-Schaden erlitten habe in der internationalen Branche der Cyberkriminellen. Es sei fraglich, ob sie sich von dem Schlag erholen.
- Anfang Mai: Die unter dem LockBit-Label geführten Cyberangriffe nehmen kein Ende. Die grösste im US-Bundesstaat Kansas gelegene Stadt Wichita (knapp 400'000 Einwohner) informiert, dass nach einer Verschlüsselungsattacke Teile des eigenen IT-Netzwerks heruntergefahren werden mussten.
- 5. Mai: Strafverfolger nehmen eine im Februar beschlagnahmte und stillgelegte Darknet-Seite von LockBit kurzfristig wieder in Betrieb und kündigen weitere Enthüllungen zur Ransomware-Bande an.
- 7. Mai: Das US-Justizministerium informiert, dass der mutmassliche LockBit-Gründer und Chef der Bande, ein 31-jähriger Russe namens Dmitry Yuryevich Khoroshev, angeklagt wird. Für Hinweise, die zu seiner Ergreifung führen, ist ein Kopfgeld von 10 Millionen Dollar ausgesetzt. Die Justizbehörden in den USA, Grossbritannien und Australien informieren auch über Mittäter und wirtschaftliche Sanktionen.
- Jemand, der Zugriff auf den LockBit-Account beim verschlüsselten Chat-Dienst Tox hat, behauptet gegenüber mehreren US-Medien, dass die Behörden die falsche Person identifiziert hätten.
- Vom 6. bis 9. Mai veröffentlicht LockBit im Darknet die Namen hunderter angeblich neuer Opfer. Gemäss einer Analyse von Sicherheitsexperten sind darunter 119 bislang nicht bekannte Opfer.
Unabhängige Kenner der Ransomware-Szene denken, die Ermittler jagen die richtige Person.Screnshot: twitter.com
- 9. Mai: Auf der LockBit-Seite im Darknet wird ein Preisgeld von 1000 Dollar ausgelobt für die Person, die den von der US-Justiz gesuchten Russen kontaktiere. Branchenkenner sind sich einig, dass es sich dabei (erneut) um ein Ablenkungsmanöver handelt.
- 13. Mai: Die Schweizer Bundespolizei (Fedpol) bestätigt gegenüber watson, dass sie die Koordination mit betroffenen Behörden in den Kantonen sichergestellt habe, um den Informationsaustausch auf nationaler und internationaler Ebene zu gewährleisten. Federführend bei den hiesigen LockBit-Ermittlungen bleibt die Zürcher Justiz (Staatsanwaltschaft). Und diese will weiterhin keine Angaben zum Fall machen.
Quellen
Das wäre doch die effizienteste Therapie für die russischen Metastasen.
Auch eine Hydra hat ein zentralen Kopf.
Der Kopf heißt Putin.