LockBit, von den Strafverfolgungsbehörden als eine der weltweit produktivsten Ransomware-Banden bezeichnet, wurde in einer koordinierten Kampagne zerschlagen, an der Beamte in den Vereinigten Staaten, Großbritannien und einem halben Dutzend weiterer Länder beteiligt waren, wie mehrere Behörden heute bekannt gaben.
Das US-Justizministerium hat eine Anklageschrift gegen zwei russische Männer, Artur Sungatov und Ivan Kondratyev, wegen der Durchführung von LockBit-Angriffen auf US-amerikanische Unternehmen veröffentlicht. Sungatov soll seit Januar 2021 in mindestens sechs Bundesstaaten Hersteller, Versicherungsunternehmen und andere Firmen angegriffen haben.
„Heute nehmen die Strafverfolgungsbehörden der USA und Großbritanniens die Schlüssel zu ihrer kriminellen Operation weg“, sagte US-Justizminister Merrick Garland in der DOJ-Mitteilung. „Und wir gehen noch einen Schritt weiter – wir haben auch Schlüssel aus der beschlagnahmten LockBit-Infrastruktur erhalten, um den Opfern zu helfen, ihre gekaperten Systeme zu entschlüsseln und wieder Zugang zu ihren Daten zu erhalten.“
Kondratyev, der im Internet als „Bassterlord“ bekannt ist, soll die Ransomware ab August 2021 auf Ziele von Stadtverwaltungen bis hin zu Unternehmen in Oregon, Puerto Rico und in Übersee eingesetzt haben.
Das globale Ausmaß der Operation Cronos zur Beseitigung von LockBit. Bild: Europol
Die Behörden übernahmen auch die Kontrolle über das Portal im Dark Web, auf dem LockBit sensible Daten von Opfern veröffentlichte, die sich weigerten zu zahlen.
„Wir haben jetzt das Online-Rückgrat der LockBit-Gruppe, einer der weltweit produktivsten Ransomware-Banden, zerstört“, sagte Europol-Exekutivdirektorin Catherine De Bolle in der Erklärung.
„Der erste Schritt, um Cyberkriminelle hinter Gitter zu bringen, besteht darin, Cyberkriminalität zu melden, wenn sie geschieht“, fügte sie hinzu. „Je früher die Menschen Meldung erstatten, desto schneller können die Strafverfolgungsbehörden neue Methoden bewerten und den Schaden begrenzen, den sie verursachen können.“
Was war LockBit?
LockBit tauchte zum ersten Mal Anfang 2020 auf und verwendete Ransomware, die die Dateien der Opfer verschlüsselt und sie von ihren Netzwerken aussperrt, wenn sie kein Lösegeld zahlen, normalerweise in Kryptowährung. Laut der Anklageschrift des DOJ wurden die Zahlungen in der Regel in Bitcoin gefordert.
Wie andere „Ransomware-as-a-Service“-Banden operierte LockBit über eine Kerngruppe von Entwicklern, die die Malware-Tools erstellten und die Infrastruktur betrieben und dann Partner rekrutierten, um Ziele im Austausch für einen Teil der Erlöse zu infizieren. Die Entwickler von LockBit unterhielten ein Dashboard, über das die Partner mit wenigen Klicks Angriffe starten konnten.
Im Jahr 2022 stellte LockBit andere Ransomware-Stämme in den Schatten und wurde laut Europol zur weltweit am häufigsten eingesetzten Ransomware. Nach Angaben des Justizministeriums hat das Syndikat von mehr als 2.000 Opfern weltweit über 120 Millionen Dollar an Lösegeldzahlungen kassiert, wobei die Gesamtforderungen wahrscheinlich in die Hunderte von Millionen gehen.
LockBit erlangte Berühmtheit durch seine „dreifache Erpressung“, bei der die Opfer nicht nur mit verschlüsselten Daten, sondern auch mit gestohlenen Informationen und lähmenden Denial-of-Service-Angriffen bedroht wurden.
Behörden schlagen zurück
Die Task Force „Operation Cronos“, bestehend aus Strafverfolgungsbehörden aus 10 Ländern, war monatelang gegen LockBit vorgegangen. Der Wendepunkt kam mit der Beschlagnahmung von Dutzenden von Command-and-Control-Servern, auf die LockBit angewiesen war, um Ransomware zu verteilen und seine Operationen zu verwalten. Die Behörden haben nun „die Kontrolle über die technische Infrastruktur übernommen, die den Betrieb aller Elemente des LockBit-Dienstes ermöglicht“, so Europol.
Infolgedessen wurden „mehr als 14.000 abtrünnige Konten, die für die Exfiltration oder die Infrastruktur verantwortlich sind, identifiziert und zur Löschung weitergeleitet“, so die Agentur.
Darüber hinaus haben französische und US-amerikanische Behörden eine immer länger werdende Liste mutmaßlicher LockBit-Mitglieder verhaftet oder Anklage gegen sie erhoben. Polen hat im Oktober 2022 den Ransomware-Verdächtigen Ivan Kondratiev festgenommen, während ein weiterer russischer Staatsbürger in der Ukraine verhaftet wurde.
Im Zusammenhang mit der jüngsten Offensive wurden drei internationale Haftbefehle ausgestellt. Auch die französischen Behörden haben fünf Anklagen erwirkt. Die Behörden haben inzwischen Kryptowährungs-Geldbörsen eingefroren, die LockBit-Mitglieder angeblich für Lösegeldzahlungen verwendet haben.
„Dies unterstreicht die Entschlossenheit, die wirtschaftlichen Anreize für Ransomware-Angriffe zu unterbrechen“, so das DOJ.
Helping victims recover
Mit der Kontrolle über die Systeme von LockBit haben die Behörden Entschlüsselungsschlüssel erhalten, die Hunderten von Opfern helfen, wieder Zugang zu ihren Daten zu erhalten.
„Wir drehen den Spieß gegen LockBit um, stellen Entschlüsselungsschlüssel zur Verfügung, schalten die Daten der Opfer frei und verfolgen die kriminellen Partner von LockBit rund um den Globus“, sagte die stellvertretende Generalstaatsanwältin Lisa Monaco in der Ankündigung.
Die Opfer von LockBit-Angriffen werden aufgefordert, sich über eine Website des Justizministeriums an die Strafverfolgungsbehörden zu wenden, um festzustellen, ob ihre Dateien entschlüsselt werden können.
Diese Lösungen wurden auch auf dem Portal „No More Ransom“ in 37 Sprachen kostenlos zur Verfügung gestellt. Bislang haben mehr als 6 Millionen Opfer in aller Welt von No More Ransom profitiert, das über 120 Lösungen zur Entschlüsselung von mehr als 150 Arten von Ransomware enthält.
Monaco sagte, dass die Operation einen großen Rückschlag für eine der aggressivsten Ransomware-Gruppen darstellt, aber nicht die letzte Aktion gegen Cyber-Kriminelle sein wird.
„Unsere Ermittlungen werden fortgesetzt, und wir sind nach wie vor entschlossen, alle Mitglieder von LockBit zu identifizieren und anzuklagen – von den Entwicklern und Administratoren bis hin zu den angeschlossenen Unternehmen“, sagte US-Staatsanwalt Philip Sellinger. „Wir werden sie als gesuchte Verbrecher ins Rampenlicht stellen. Sie werden sich nicht länger im Schatten verstecken.“
