Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Administrator der LockBit-Ransomware festgenommen

Die britische National Crime Agency (NCA) hat den Administrator und Entwickler der LockBit-Ransomware dingfest gemacht. Es handelt sich um einen 31-jährigen russischen Staatsbürger namens Dmitry Yuryevich Khoroshev. LockBit gilt wegen unter anderem seiner hohen Verschlüsselungsgeschwindigkeit als besonders bedrohlich.

Bedrohungen
Lesezeit 4 Min.

Da ist den Behörden ein dicker Fisch ins Netz gegangen. Khoroshev wurde nicht nur von der NCA, sondern auch vom britischen Amt für Auswärtige Angelegenheiten, Commonwealth und Entwicklung (FCD), dem Büro für die Kontrolle ausländischer Vermögenswerte (OFAC) des US-Finanzministeriums und dem australischen Außenministerium gesucht und inzwischen mit Sanktionen belegt.

Europol teilte in einer Presseerklärung mit, dass die Behörden im Besitz von über 2.500 Entschlüsselungsschlüsseln sind und unvermindert Kontakt zu LockBit-Opfern suchen, um ihnen Unterstützung anzubieten.

Khoroshev, der auch als LockBitSupp und Putinkrab bekannt ist, ist Gegenstand von Vermögenssperren und Reiseverboten. Das US-Außenministerium bietet bis zu 10 Millionen Dollar Belohnung für Informationen, die zu seiner Festnahme und Verurteilung führen.

Früher hatte das US-Außenministerium sogar eine Belohnung von bis zu 15 Millionen Dollar für Informationen angeboten, die zur Identifizierung und Aufspürung der Hauptakteure der LockBit-Ransomware sowie zur Festnahme und Verurteilung der Gruppenmitglieder führen.

Das US-Justizministerium hat auch eine Liste mit 26 Anklagepunkten veröffentlicht, darunter verschiedene Formen von Betrug, Erpressung und andere computerbezogene Straftaten. Die mögliche, daraus resultierende Höchststrafe beträgt 185 Jahre Gefängnis – außerdem könnten je Anklage Geldstrafen von bis zu 250.000 US-Dollar verhängt werden.

Mit der jüngsten Anklage müssen sich insgesamt sechs Mitglieder der LockBit-Verschwörung vor Gericht verantworten. Graeme Biggar, Generaldirektor des NCA, kommentierte: „Die heutige Ankündigung ist ein weiterer schwerer Schlag für LockBit, und unsere Untersuchungen gegen sie gehen weiter. Wir nehmen auch Partner ins Visier, die LockBit-Dienste genutzt haben, um verheerende Ransomware-Angriffe auf Schulen, Krankenhäuser und große Unternehmen weltweit zu verüben.“

LockBit, eine der aktivsten Ransomware-as-a-Service (RaaS)-Gruppen, wurde Anfang Februar dieses Jahres im Rahmen einer koordinierten Operation namens Cronos zerschlagen. Es wird geschätzt, dass die Gruppe weltweit über 2.500 Opfer angegriffen und mehr als 500 Millionen Dollar an Lösegeldzahlungen erhalten hat.

Penny Wong, die australische Ministerin für auswärtige Angelegenheiten, erklärte: „LockBit-Ransomware wurde gegen australische, britische und US-amerikanische Unternehmen eingesetzt und machte 18 Prozent aller in Australien gemeldeten Ransomware-Vorfälle in den Jahren 2022-23 aus, mit 119 gemeldeten Opfern in Australien.“

LockBit verwendet das Ransomware-as-a-Service (RaaS)-Geschäftsmodell, bei dem es seine Ransomware-Software an Partnerunternehmen lizenziert. Im Gegenzug erhält LockBit 80 Prozent des gezahlten Lösegelds. Die Gruppe ist auch dafür bekannt, sensible Daten aus den Netzwerken der Opfer zu stehlen, bevor sie deren Computersysteme verschlüsseln und Lösegeldzahlungen verlangen.

Khoroshev, der LockBit im September 2019 gegründet hat, soll in den letzten vier Jahren mindestens 100 Millionen US-Dollar an Lösegeldzahlungen erhalten haben.

Interessanterweise wird Khoroshev und seinen Mitverschwörern auch vorgeworfen, LockBit gegen russische Opfer eingesetzt zu haben. Der Angeklagte verlangte von den angeworbenen Partnern Ausweisdokumente und arbeitete sogar mit den Strafverfolgungsbehörden zusammen, um Informationen über die Identität seiner RaaS-Konkurrenten zu liefern.

Die NCA berichtet, dass LockBit zwischen Juni 2022 und Februar 2024 über ihre Systeme mehr als 7.000 Angriffe durchgeführt hat. Die am stärksten betroffenen Länder waren die USA, Großbritannien, Frankreich, Deutschland und China.

Nachdem die Strafverfolgungsbehörden eingegriffen hatten, versuchte LockBit sich erneut in Szene zu setzen. Die auf der neuen Leak-Site der Gruppe veröffentlichten Opfer erwiesen sich jedoch als zum Teil gefälscht, zum Teil als neuer Aufguss früherer Opfer.

„LockBit hat eine neue Leak-Site eingerichtet, auf der die Akteure ihre scheinbare Aktivität aufblähen, indem sie Opfer veröffentlichen, die vor der Übernahme der Kontrolle über ihre Dienste durch die NCA im Februar betroffen waren, und sich für Angriffe rühmen, die mit anderen Ransomware-Stämmen verübt wurden“, so die Agentur. „Die Gruppe hat in den letzten zwei Monaten versucht, sich wieder aufzubauen, aber […] sie arbeitet derzeit mit begrenzter Kapazität und die globale Bedrohung durch LockBit hat sich deutlich verringert.“

Bis zum 24. Februar waren etwa 194 Mitglieder im Ransomware-as-a-Service (RaaS)-System aktiv. Von diesen führten 148 Mitglieder Angriffe durch, während 119 mit den Opfern Lösegeldverhandlungen führten. „Von den 119, die Verhandlungen aufgenommen haben, scheinen 39 nie eine Lösegeldzahlung erhalten zu haben. Fünfundsiebzig haben sich nicht auf Verhandlungen eingelassen, scheinen also ebenfalls keine Lösegeldzahlungen erhalten zu haben“, so die NCA.

Wie die Agentur berichtet, ist die Anzahl der aktiven LockBit-Mitglieder inzwischen auf 69 gesunken. Außerdem stellt sie fest, dass LockBit die gestohlenen Daten nicht immer löscht, sobald das Lösegeld gezahlt wurde. Und offenbar gab zahlreiche Fälle, in denen der bereitgestellte Entschlüsseler nicht richtig funktioniert hat.

„Als einer der führenden Köpfe der LockBit-Gruppe und Entwickler der LockBit-Ransomware hat Khoroshev eine Vielzahl von Aufgaben für die Cybercrime-Gruppe übernommen und von den LockBit-Ransomware-Angriffen profitiert“, so das US-Finanzministerium. „Er hat den Ausbau der LockBit-Infrastruktur erleichtert, neue Entwickler für die Ransomware rekrutiert und LockBit-Tochtergesellschaften verwaltet. Khoroshev ist auch für die Bemühungen von LockBit verantwortlich, den Betrieb nach der Unterbrechung durch die USA und ihre Verbündeten Anfang des Jahres fortzusetzen.“

Diesen Beitrag teilen: