Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?
Einem Team aus internationalen Ermittlerinnen und Ermittlern ist ein Schlag gegen die Ransomware-Bande Lockbit gelungen. Wo normalerweise gestohlene Daten publiziert oder Druck auf Opfer aufgebaut wird, heisst es aktuell: "Die Website steht unter der Kontrolle der National Crime Agency (NCA) des Vereinigten Königreichs." Dazu zeigt ein Countdown, wann die Seite vom Netz genommen werden soll.
Nach eigenen Angaben hat die NCA die Ransomware-Bande zusammen mit dem FBI und weiteren internationalen Strafverfolgungsbehörden – darunter auch aus der Schweiz – zerschlagen. Dafür wurde die Taskforce "Operation Cronos" gegründet. Beteiligt daran waren neben den genannten Behörden auch solche aus Deutschland, Frankreich, Japan, Kanada, Australien, Schweden, den Niederlanden und Finnland sowie Europol.
Die Seite ist unter fremder Kontrolle. Screenshot: Lockbit
Ein Ende mit Schrecken, oder…
Wie nachhaltig der Einsatz der Behörden sein wird, ist offen. Bereits Ende 2023 vermeldeten internationale Strafverfolgungsbehörden das Ende von Alphv. Nur einen Tag später meldete sich die Ransomware-Bande aber zurück. Anfang Jahr wurden deshalb noch einmal härtere Bandagen angezogen: Die US-Regierung versucht seither, durch sehr hohe Kopfgelder Hinweise auf die Identität und den Aufenthaltsort von Mitgliedern von Alphv zu erhalten – bisher ohne Erfolg.
Bei der erfolgreichsten Ransomware-Bande der Welt könnte aber einiges anders sein. Laut dem X-Profil "VX-Underground" sind die Strafverfolgungsbehörden über eine bereits bekannte Sicherheitslücke in die Systeme von Lockbit eingedrungen. Sie haben den Spiess also umgedreht. Gemäss dem Account konnten sich die Ermittler auch Zugang zu den Schlüsselinfrastrukturen von Lockbit verschaffen und Teile des Quellcodes einsehen.
Prominente Opfer
In der Vergangenheit war Lockbit an zahlreichen aufsehenerregenden Hackerangriffen beteiligt, darunter Anfang 2023 auf den britischen Postdienstleister Royal Mail. In den USA werden der Gruppe mehr als 1700 Angriffe auf Organisationen aus verschiedenen Branchen zur Last gelegt, prominente Opfer, darunter der Luftfahrtkonzern Boeingoder die Sandwich-Kette Subway.
Die Ransomware wurde erstmals 2020 entdeckt. Damals ist die Schadsoftware in einem russischen Hackerforen aufgetaucht, weshalb einige Analysten annehmen, dass die Gruppe auch tatsächlich aus Russland stammt. Auf ihrer Website im Darknet, die nun von den Behörden kontrolliert wird, hatte die Gruppe ihren Sitz mit den Niederlanden angegeben und dabei stets betont, sie sei unpolitisch und interessiere sich nur für Geld.
Walmart unter Ransomware-Banden
Ihre Skrupel über Bord geworfen haben die Cyberkriminellen dann spätestens Anfang Februar, als sie das Saint Anthony Kinderspital in Chicago angegriffenhaben. Zuvor hatte die Bande immer behauptet, dass sie keine Non-Profit-Organisationen erpressen werde. Dennoch wurde dem Spital damit gedroht, dass gestohlene Patientendaten veröffentlicht werden, sollte kein Lösegeld bezahlt werden.
"Sie sind der Walmart unter den Ransomware-Banden", sagt Jon DiMaggio, leitender Sicherheitsstratege bei einem amerikanischen Cybersecurity-Anbieter gegenüber 'Reuters'. "Sie sind heute wohl die grösste Ransomware-Crew und betreiben ein Geschäftsmodell, das sie klar von ihren Mitbewerbern unterscheidet", ergänzt er.
Statt Boeing und Subway, muss Lockbit jetzt selber dran glauben. Screenshot: Lockbit
Gefahr noch nicht gebannt?
Unter Security-Fachleuten herrscht gerade aus diesem Grund Unsicherheit darüber, wie nachhaltig die Aktion gegen Lockbit gewesen ist. Die Gruppe behauptet nach wie vor, dass sie über Backup-Server verfügt. "In diesem Stadium ist es immer äusserst schwierig zu wissen, ob die Kampagne die Gruppe endgültig ausser Gefecht setzt", sagt Andy Kays, CEO des deutschen Security-Anbieters Socura.
Dies hänge jedoch immer auch davon ab, wo die beteiligten Personen ansässig sind und ob diese den lokalen Behörden bekannt sind. Bereits in der Vergangenheit habe man gesehen, dass sich die Cyberkriminellen neu gruppieren und zu einer anderen Bande zusammenschliessen. "Takedowns sind von kurzer Dauer, wenn niemand verhaftet wird", erklärt Hüseyin Can Yuceel, Sicherheitsforscher bei Picus Security, dazu.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!