Führende LockBit- und Evil-Corp-Mitglieder verhaftet
Eine internationale Strafverfolgungsaktion hat der gefürchteten LockBit-Ransomware einen empfindlichen Schlag versetzt: Vier Verdächtige wurden festgenommen und neun Server abgeschaltet, die Teil des kriminellen Netzwerks waren. LockBit, auch bekannt als Bitwise Spider, war lange Zeit eine der aktivsten und gefährlichsten Ransomware-Gruppen, die Unternehmen und Behörden ins Visier nahm.
Im Rahmen einer internationalen Strafverfolgungsaktion wurden mehrere Verdächtige der LockBit-Ransomware-Gruppe festgenommen. Dazu zählt ein mutmaßlicher LockBit-Entwickler aus Frankreich, der sich während seines Urlaubs außerhalb Russlands aufhielt. Auch in Großbritannien wurden zwei Personen festgenommen, die ein mit Lockbit verbundenes Unternehmen unterstützten. In Spanien wurde ein Administrator eines „kugelsicheren“ Hosting-Dienstes (Hosting-Service, der es seinen Kunden ermöglicht, Inhalte und Anwendungen online zu hosten, ohne strenge rechtliche oder regulatorische Einschränkungen) verhaftet, der von der Ransomware-Gruppe genutzt wurde, wie Europol erklärte.
Die Behörden haben außerdem einen russischen Staatsbürger namens Aleksandr Ryzhenkov identifiziert, der als hochrangiges Mitglied der Cybercrime-Gruppe Evil Corp gilt und auch mit LockBit in Verbindung steht. Zudem wurden Sanktionen gegen sieben Einzelpersonen und zwei Unternehmen erlassen, die mit dieser kriminellen Bande in Verbindung stehen.
Bradley T. Smith, der amtierende Unterstaatssekretär des US-Finanzministeriums, betonte, dass die Vereinigten Staaten weiterhin entschlossen gegen kriminelle Netzwerke vorgehen werden, die aus dem Leid ihrer Opfer Profit schlagen.
Diese Maßnahmen sind Teil von Operation Cronos und erfolgen fast acht Monate nach der Beschlagnahme der Online-Infrastruktur von LockBit. Zudem folgten sie auf Sanktionen gegen Dmitry Yuryevich Khoroshev, der sich als Administrator von LockBit entpuppte. Insgesamt wurden 16 Personen, die Teil von Evil Corp sind, in Großbritannien sanktioniert. Diese berüchtigte Hackergruppe, auch bekannt als Gold Drake und Indrik Spider, ist seit 2014 aktiv und hat es insbesondere auf Banken und Finanzinstitutionen abgesehen, um an Anmeldedaten und Finanzinformationen zu gelangen und unerlaubte Geldtransfers durchzuführen.
Die Gruppe hinter der Malware Dridex, auch bekannt als Bugat, hat im Jahr 2022 LockBit und andere Ransomware-Stämme genutzt, um Sanktionen zu umgehen, die ihnen im Dezember 2019 auferlegt wurden. Aleksandr Ryzhenkov wird von der britischen National Crime Agency (NCA) als rechte Hand von Yakubets beschrieben. Das US-Justizministerium (DoJ) beschuldigt ihn, seit mindestens Juni 2017 die Ransomware BitPaymer gegen zahlreiche Opfer in den USA eingesetzt zu haben.
Laut den Behörden hat Ryzhenkov, der den Affiliate-Namen Beverley verwendete, über 60 Versionen der LockBit-Ransomware erstellt und versucht, von den Opfern mindestens 100 Millionen US-Dollar an Lösegeld zu erpressen. Zudem wird er mit dem Alias mx1r in Verbindung gebracht und ist Teil einer Gruppe, die als UNC2165 bekannt ist, die mit den Evil Corp-Mitgliedern assoziiert ist.
Sein Bruder, Sergey Ryzhenkov, auch bekannt als Epoch, wird ebenfalls mit BitPaymer in Verbindung gebracht, wie die Cybersecurity-Firma Crowdstrike berichtet, welche die NCA bei der Aktion unterstützte.
Im Jahr 2024 nutzte die Gruppe, die auch als Indrik Spider bekannt ist, einen Malware-Verbreitungsdienst namens Fake Browser Update (FBU), um in mehrere Einrichtungen einzudringen. Zuletzt wurde der Angreifer im zweiten Quartal 2024 beobachtet, als er LockBit einsetzte.
Unter den Personen, gegen die Sanktionen verhängt wurden, sind Ryzhenkovs Vater, Viktor Yakubets, und sein Schwiegervater, Eduard Benderskiy, ein ehemaliger hochrangiger FSB-Beamter. Diese Verbindungen verdeutlichen die enge Beziehung zwischen russischen Cybercrime-Gruppen und dem Kreml.
Die NCA erklärt, dass die Gruppe in einer privilegierten Position war, da einige Mitglieder enge Kontakte zum russischen Staat pflegten. Benderskiy spielte eine Schlüsselrolle in der Beziehung zu den russischen Geheimdiensten, die Evil Corp vor 2019 mit Cyberangriffen und Spionageoperationen gegen NATO-Verbündete beauftragten.
Nach den US-Sanktionen und Anklagen im Dezember 2019 nutzte Benderskiy seinen Einfluss, um die Gruppe zu schützen. Er sorgte dafür, dass hochrangige Mitglieder Sicherheit erhielten und nicht von russischen Behörden verfolgt wurden.