Im vergangenen Februar versetzten Polizei- und Justizbehörden mit der internationalen "Operation Cronos" der Ransomware-Bande Lockbit
einen empfindlichen Schlag. Ein Teil der Infrastruktur der Cyberkriminellen wurde beschlagnahmt, es kam zu ersten Verhaftungen. Auch die Schweizer Bundespolizei Fedpol und die Kantonspolizei Zürich waren an der Aktion beteiligt. Dabei gelang es den Zürcher Behörden, sieben Server stillzulegen sowie über 10'000 Benutzerkonten zu deaktivieren.
In der Folge stellte das FBI
rund 7000 kryptographische Schlüssel der Cyberkriminellen deren Opfern zur Verfügung. Im Juli
folgten weitere Verhaftungen von mutmasslichen Mitgliedern. Lockbit galt lange als die weltweit aktivste Bande, die nach dem Modell Ransomware-as-a-Service (RaaS) operiert. Sie soll über eine Milliarde US-Dollar an Lösegeld erpresst haben. Kurze Zeit nach dem ersten Schlag der Ermittlungsbehörden im Februar
meldete sich die Gruppe zurück, ihre Leaksite im Darkweb ist auch heute noch aktiv. Allerdings haben die Veröffentlichungen dort im Vergleich zu früher abgenommen, was durchaus für einen Erfolg der "Operation Cronos" sprechen könnte.
Verhaftungen in Frankreich, Grossbritannien und Spanien
Die internationale Aktion hat jetzt zu weiteren Massnahmen geführt, wie unter anderem Europol mitteilt. Ein mutmasslicher Entwickler von Lockbit wurde auf Ersuchen der französischen Behörden festgenommen. Britische Behörden verhafteten zwei Personen, die Lockbit-Aktivitäten unterstützt haben sollen. Ihnen sei man durch im Februar sichergestellte Datensätze auf die Spur gekommen. Spanische Beamten beschlagnahmten neun Server und verhafteten einen Administrator eines Bulletproof-Hosting-Dienstes, der von der Bande genutzt wurde.
"Dies sind einige der Ergebnisse der dritten Phase der Operation Cronos, einer langjährigen gemeinsamen Anstrengung von Strafverfolgungsbehörden aus zwölf Ländern, von Europol und Eurojust, die ihre Kräfte gebündelt haben, um die kriminellen Aktivitäten der Lockbit-Ransomware-Gruppe auf allen Ebenen wirksam zu stören", schreibt Europol.
Verbindungen zu Evil Corp
Weiter gaben die Behörden bekannt, dass sie mit dem Russen Aleksandr R. einen hochrangigen Lockbit-Affiliate identifiziert hätten. Dieser sei auch ein führender Kopf von Evil Corp gewesen. Diese Gruppe trat erstmals 2011 in Erscheinung und war
ein Jahrzehnt lang aktiv. Sie soll die Malwares Dridex und Bitpaymer entwickelt und bei ihren Angriffen über 300 Millionen Dollar erbeutet haben. Zudem soll sie enge Verbindungen zu russischen Geheimdiensten gepflegt haben, wie
'The Register' berichtet.
Das amerikanische Department of Justice hat am 1. Oktober Anklage gegen Aleksandr R. erhoben. Zeitgleich verhängten Australien, Grossbritannien und die USA Sanktionen gegen den russischen Staatsbürger. Grossbritannien verhängte zusätzliche Sanktionen gegen 15 weitere Personen wegen ihrer Beteiligung an den kriminellen Aktivitäten von Evil Corp, während die Vereinigten Staaten sechs und Australien zwei mutmassliche Evil-Corp-Mitglieder sanktionierten.