Ende Februar vermeldete ein Team von internationalen Ermittlerinnen und Ermittlern einen Erfolg gegen die Ransomware-Bande Lockbit. Im Rahmen der "Operation Cronos" sei die Infrastruktur der Cyberkriminellen zerschlagen worden, hiess es damals. Während zuerst unklar war, welche Auswirkungen die Aktion der Strafverfolgungsbehörden genau hatte, meldete sich die Ransomware-Bande nur wenig später zurück.

In der Zwischenzeit blieb es von Seiten der beteiligten Polizeibehörden ruhig. Während auf dem Darknet-Blog von Lockbit weiterhin fleissig Unternehmen erpresst und Daten veröffentlicht wurden, schienen die Strafverfolgungsbehörden nicht mehr viel ausrichten zu können. Zwei Monate später sieht der Sachverhalt jedoch wieder ganz anders aus. Die Behörden haben die zweite Phase der Operation Cronos gestartet.

Wie Europol in einer Medienmitteilung schreibt, wurde der Administrator und Entwickler hinter Lockbit identifiziert. Demnach soll der russische Staats­angehörige Dmitry Yuryevich Khoroshev der Kopf der Bande sein. Mit dem Start von Phase zwei wurde er mit einer Reihe von Vermögenssperren und Reiseverboten belegt. In den USA wurde zudem eine Anklageschrift gegen ihn veröffentlicht.

Khoroshev soll sich für seine mutmassliche Rolle als Erfinder, Entwickler und Administrator der Lockbit-Ransomware vor Gericht verantworten müssen. Darüber hinaus haben die Behörden in den Vereinigten Staaten eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen ausgesetzt, die zu seiner Verhaftung oder Verurteilung führen.

Nachdem die Infrastruktur von Lockbit kompromittiert wurde, wollen die Strafverfolgungsbehörden ihre Aktivitäten weiterhin koordinieren. So sollen auch mögliche Partner und Affiliates identifiziert und zur Rechenschaft gezogen werden. Die Ermittler konnten nach eigenen Angaben eine grosse Menge an Daten von der Lockbit-Plattform exfiltrieren, bevor sie vollständig beschädigt wurde.

Die tatsächlichen Auswirkungen von Lockbit waren bisher nicht bekannt, aber die Daten aus den Systemen der Ransomware-Bande zeigen, dass zwischen Juni 2022 und Februar 2024 mehr als 7000 Angriffe mit der Malware durchgeführt wurden. Die fünf am stärksten betroffenen Länder waren die Vereinigten Staaten, das Vereinigte Königreich, Frankreich, Deutschland und China.

Die Ermittlungen gehen also noch weiter. Einerseits wird Khoroshev und andererseits seine Mittäter gesucht. Die Behörden geben sich aber optimistisch. "Die Operation Cronos Task Force macht gute Fortschritte und wird weitere Einzelheiten zu gegebener Zeit bekanntgeben", heisst es dazu von Europol.

Europol hat die Daten, die während der Ermittlungen und in der ersten Phase der Aktion gesammelt wurden, auch genutzt, um Opfer von Lockbit zu identifizieren. Bekannte Opfer der Ransomware-Bande sind etwa die Sandwich-Kette Subway, der britische Postdienst Royal Mail, der Luftfahrtkonzern Boeing oder der Holländische Fussballverband, der seinerzeit sogar Lösegeld bezahlt hat.

In der Schweiz musste der Baumaschinenverleiher Avesco Rent, das Diakonissenhaus Riehen oder eine Appenzeller Arztpraxis dranglauben. Wie Europol schreibt, sind die Strafverfolgungsbehörden inzwischen im Besitz von über 2500 Entschlüsselungsschlüsseln und setzen sich mit Opfern von Lockbit in Verbindung, um ihnen Unterstützung anzubieten.

Das Europäische Zentrum für Cyberkriminalität hat etwa 3500 Informations­pakete mit Informationen über Lockbit-Opfer an 33 Länder weitergeleitet. Mit der Unterstützung von Europol haben die japanische Polizei, die National Crime Agency und das FBI ihr technisches Fachwissen gebündelt, um Entschlüsselungstools zu entwickeln, mit denen die verschlüsselten Dateien wiederhergestellt werden können.

Während sich die Strafverfolgungsbehörden für ihren Erfolg feiern lassen, sind gewisse Backups des Darkweb-Blogs von Lockbit aber immer noch online. Erst gestern wurde ein weiteres Schweizer Unternehmen auf der Opferliste eingetragen.