Behörden gehen gegen LockBit-Gruppe vor
Die britische National Crime Agency (NCA) bestätigte, dass sie im Rahmen einer speziellen Task Force namens Operation Cronos den Quellcode von LockBit sowie eine Fülle von Informationen über dessen Aktivitäten und die angeschlossenen Unternehmen erhalten hat. Zwei führende Akteure der Gruppe wurden verhaftet.
Mit der Zerschlagung von LockBit wurde ein interessantes Detail bekannt: Einige Daten auf den Systemen von LockBit gehörten offenbar zu Opfern, die bereits ein Lösegeld an die Angreifer gezahlt hatten. „Das zeigt, dass selbst nach einer Zahlung keine Garantie dafür besteht, dass die Daten gelöscht werden, obwohl dies versprochen wurde“, so die NCA.
Es wurden zwei LockBit-Akteure in Polen und der Ukraine verhaftet. Über 200 Kryptowährungskonten, die mit der Gruppe verbunden waren, wurden eingefroren. In den USA wurden auch Anklagen gegen zwei weitere russische Staatsangehörige erhoben, die angeblich LockBit-Angriffe durchgeführt haben sollen. Ihnen drohen außerdem Sanktionen.
Artur Sungatov und Ivan Gennadievich Kondratiev (auch bekannt als Bassterlord) werden beschuldigt, LockBit gegen viele Opfer in den USA eingesetzt zu haben, einschließlich Unternehmen in verschiedenen Branchen im ganzen Land sowie Opfer in der Halbleiterindustrie und anderen Branchen weltweit, so das US-Justizministerium (DoJ).
Zusätzlich wurde Kondratyev in drei Fällen angeklagt, in denen er die Ransomware-Variante Sodinokibi, auch bekannt als REvil, benutzte, um Daten zu verschlüsseln, Opferinformationen zu entwenden und von einem Unternehmen in Alameda County, Kalifornien, ein Lösegeld zu erpressen.
Die LockBit-Ransomware-Gruppe wurde international unter Druck gesetzt. Die NCA bezeichnete sie als die „weltweit schädlichste Gruppe der Internetkriminalität“. Die Behörden übernahmen die Kontrolle über die Dienste von LockBit und infiltrierten das gesamte kriminelle Unternehmen. Außerdem wurden 34.000 Server von LockBit-Mitgliedsunternehmen abgebaut und über 1.000 Entschlüsselungsschlüssel abgerufen.
Seit Ende 2019 betreibt LockBit ein Ransomware-as-a-Service (RaaS)-System. Dabei lizenzieren sie ihre Verschlüsselungsprogramme an Partner, die Angriffe durchführen und einen Teil der Lösegeldzahlungen erhalten. Diese Operation wird von einem Bedrohungsakteur namens LockBitSupp geleitet.
Die Angriffe folgen einer Taktik, die als „doppelte Erpressung“ bekannt ist. Dabei stehlen die Bedrohungsakteure sensible Daten, bevor sie diese verschlüsseln. Sie setzen die Opfer dann unter Druck, eine Zahlung zu leisten, um ihre Dateien zu entschlüsseln und zu verhindern, dass ihre Daten veröffentlicht werden.
Laut Europol ist die Ransomware-Gruppe auch dafür berüchtigt, immer neue und noch raffiniertere Methoden Methoden auszuprobieren, um ihre Opfer dazu zu bringen, Lösegeld zu zahlen. Eine dieser Methoden ist die „dreifache Erpressung“. Dabei werden neben der herkömmlichen Verschlüsselung der Opferdaten und der Drohung, sie zu veröffentlichen, auch Distributed Denial-of-Service (DDoS)-Angriffe als zusätzlicher Druckmittel eingesetzt.
Um den Datendiebstahl zu erleichtern, verwenden die Angreifer ein spezielles Tool namens StealBit, um Daten zu exfiltrieren. Die Infrastruktur, die für die Organisation und Übertragung der Opferdaten verwendet wurde, wurde von Behörden aus drei Ländern beschlagnahmt, darunter den USA.
LockBit-Angriffe haben weltweit mehr als 2.500 Opfer betroffen und illegale Gewinne von über 120 Millionen Dollar erzielt. Ein Entschlüsselungstool wurde über No More Ransom bereitgestellt, um von der Ransomware verschlüsselte Dateien kostenlos wiederherzustellen.
„Unsere Zusammenarbeit ermöglichte es uns, die Hacker zu überlisten. Wir haben ihre Infrastruktur infiltriert, ihren Quellcode beschlagnahmt und die Schlüssel erlangt, um den Opfern zu helfen, ihre Systeme zu entschlüsseln“, so Graeme Biggar, der Generaldirektor der NCA. „Mit dem heutigen Tag haben wir LockBit ausgeschaltet. Die Fähigkeiten der Gruppe und ihre Glaubwürdigkeit sind schwer beschädigt. Die LockBit-Akteure vertrauten auf Geheimhaltung und Anonymität, aber jetzt sind sie entlarvt. Sie mögen versuchen, sich wieder zu reorganisieren, aber wir kennen jetzt ihre Identität und ihre Vorgehensweise.“