Wurde Lockbit zerschlagen?

20. Februar 2024 um 14:48
image
Foto: Oyemike Princewill / Unsplash

Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?

Einem Team aus internationalen Ermittlerinnen und Ermittlern ist ein Schlag gegen die Ransomware-Bande Lockbit gelungen. Wo normalerweise gestohlene Daten publiziert oder Druck auf Opfer aufgebaut wird, heisst es aktuell: "Die Website steht unter der Kontrolle der National Crime Agency (NCA) des Vereinigten Königreichs." Dazu zeigt ein Countdown, wann die Seite vom Netz genommen werden soll.
Nach eigenen Angaben hat die NCA die Ransomware-Bande zusammen mit dem FBI und weiteren internationalen Strafverfolgungsbehörden – darunter auch aus der Schweiz – zerschlagen. Dafür wurde die Taskforce "Operation Cronos" gegründet. Beteiligt daran waren neben den genannten Behörden auch solche aus Deutschland, Frankreich, Japan, Kanada, Australien, Schweden, den Niederlanden und Finnland sowie Europol.
image
Die Seite ist unter fremder Kontrolle. Screenshot: Lockbit

Ein Ende mit Schrecken, oder…

Wie nachhaltig der Einsatz der Behörden sein wird, ist offen. Bereits Ende 2023 vermeldeten internationale Strafverfolgungs­behörden das Ende von Alphv. Nur einen Tag später meldete sich die Ransomware-Bande aber zurück. Anfang Jahr wurden deshalb noch einmal härtere Bandagen angezogen: Die US-Regierung versucht seither, durch sehr hohe Kopfgelder Hinweise auf die Identität und den Aufenthaltsort von Mitgliedern von Alphv zu erhalten – bisher ohne Erfolg.
Bei der erfolgreichsten Ransomware-Bande der Welt könnte aber einiges anders sein. Laut dem X-Profil "VX-Underground" sind die Straf­ver­fol­gungs­behörden über eine bereits bekannte Sicherheitslücke in die Systeme von Lockbit eingedrungen. Sie haben den Spiess also umgedreht. Gemäss dem Account konnten sich die Ermittler auch Zugang zu den Schlüssel­infra­strukturen von Lockbit verschaffen und Teile des Quellcodes einsehen.

Prominente Opfer

In der Vergangenheit war Lockbit an zahlreichen aufsehenerregenden Hackerangriffen beteiligt, darunter Anfang 2023 auf den britischen Post­dienst­leister Royal Mail. In den USA werden der Gruppe mehr als 1700 Angriffe auf Organisationen aus verschiedenen Branchen zur Last gelegt, prominente Opfer, darunter der Luftfahrtkonzern Boeing oder die Sandwich-Kette Subway.
Die Ransomware wurde erstmals 2020 entdeckt. Damals ist die Schad­soft­ware in einem russischen Hackerforen aufgetaucht, weshalb einige Analysten annehmen, dass die Gruppe auch tatsächlich aus Russland stammt. Auf ihrer Website im Darknet, die nun von den Behörden kontrolliert wird, hatte die Gruppe ihren Sitz mit den Niederlanden angegeben und dabei stets betont, sie sei unpolitisch und interessiere sich nur für Geld.

Walmart unter Ransomware-Banden

Ihre Skrupel über Bord geworfen haben die Cyberkriminellen dann spätestens Anfang Februar, als sie das Saint Anthony Kinderspital in Chicago angegriffen haben. Zuvor hatte die Bande immer behauptet, dass sie keine Non-Profit-Organisationen erpressen werde. Dennoch wurde dem Spital damit gedroht, dass gestohlene Patientendaten veröffentlicht werden, sollte kein Lösegeld bezahlt werden.
"Sie sind der Walmart unter den Ransomware-Banden", sagt Jon DiMaggio, leitender Sicherheitsstratege bei einem amerikanischen Cybersecurity-Anbieter gegenüber 'Reuters'. "Sie sind heute wohl die grösste Ransomware-Crew und betreiben ein Geschäftsmodell, das sie klar von ihren Mitbewerbern unterscheidet", ergänzt er.
image
Statt Boeing und Subway, muss Lockbit jetzt selber dran glauben. Screenshot: Lockbit

Gefahr noch nicht gebannt?

Unter Security-Fachleuten herrscht gerade aus diesem Grund Unsicherheit darüber, wie nachhaltig die Aktion gegen Lockbit gewesen ist. Die Gruppe behauptet nach wie vor, dass sie über Backup-Server verfügt. "In diesem Stadium ist es immer äusserst schwierig zu wissen, ob die Kampagne die Gruppe endgültig ausser Gefecht setzt", sagt Andy Kays, CEO des deutschen Security-Anbieters Socura.
Dies hänge jedoch immer auch davon ab, wo die beteiligten Personen ansässig sind und ob diese den lokalen Behörden bekannt sind. Bereits in der Ver­gang­en­heit habe man gesehen, dass sich die Cyberkriminellen neu gruppieren und zu einer anderen Bande zusammenschliessen. "Takedowns sind von kurzer Dauer, wenn niemand verhaftet wird", erklärt Hüseyin Can Yuceel, Sicherheitsforscher bei Picus Security, dazu.

Möchten Sie uns unterstützen?

Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr erfahren

Mehr zum Thema

image

Weiterer Supply-Chain-Angriff auf Open-Source-Bibliothek

Cyberkriminelle wollten sich Zugang zu einem Open-Source-Projekt erschleichen. Das zeigt die Anfälligkeit von solchen Lösungen.

publiziert am 16.4.2024
image

Samsung erhält Milliarden für Bau einer US-Chipfabrik

Der südkoreanische Konzern will neue Standorte für Entwicklung und Fertigung in den USA bauen und erhält dafür Subventionen in Milliardenhöhe.

publiziert am 15.4.2024
image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024
image

Salesforce will angeblich Informatica übernehmen

Derzeit laufen gemäss Berichten Gespräche über einen allfälligen Kauf. Es wäre die grösste Übernahme von Salesforce seit der Akquisition von Slack im Jahr 2020.

publiziert am 15.4.2024