Aktion von Ermittlern aus zehn Staaten

Ransomware-Gruppe Lockbit ausgehoben

21.02.2024 von Peter Marwan

Was haben die britische Royal Mail, Continental, Subway, die Deutsche Energie-Agentur und Chip-Fertiger TSMC gemeinsam? Sie waren wie viele andere Firmen weltweit Opfer der Ransomware-Gruppe Lockbit. Die haben FBI, National Crime Agency und Europol nun stark geschwächt - wie stark, ist allerding noch unklar.

Statt den Namen und Logos angegriffener Firmen sind auf der Lockbit-Website jetzt die Wappen der erfolgreichen Ermittlungsbehörden zu sehen.
Foto: NCA

Unter Federführung des FBI und der britischen National Crime Agency ist Ermittlern aus insgesamt rund einem Dutzend Ländern mit der "Operation Cronos" ein wichtiger Schlag gegen Cyberkriminelle gelungen. Gemeinsam haben sie die Leak-Seite der Gruppe "Lockbit" sowie die Kontrolle über wichtige technische Infrastruktur der Gruppe übernommen, 34 Server abgeschaltet und 14.000 missbräuchlich verwendete Benutzerkonten geschlossen. Europol, die japanische Polizei, FBI und NCA haben auf dem "No More Ransom"-Portal Tools zur Verfügung gestellt, um von Lockbit verschlüsselte Dateien zu entschlüsseln.

200 mit der Gruppe verbundene Kryptowährungskonten wurden eingefroren. In Polen und der Ukraine wurden zwei Personen festgenommen. Zwei weitere, der Lockbit-Gruppe zugerechnete Personen, wurden bereits früher in den USA und Kanada verhaftet. Eine dritte, Mikhail Matveev ("Wazawaka"), wird vom FBI per Steckbrief gesucht. Er hält sich derzeit vermutlich in Russland auf.

Europol listet die im Zuge der "Operation Cronos" von der kriminellen Hackergruppe Lockbit sichergestellten Ressourcen auf.
Foto: Europol

Anstatt Daten aufzulisten, die von Ransomware-Opfern gestohlen wurden, die nicht bezahlt haben, bietet die Website von Lockbit jetzt kostenlose Wiederherstellungs-Tools sowie Meldungen zu Verhaftungen und Strafanzeigen an. Gleichzeitig gab das US-Justizministerium Einzelheiten zu einer in New Jersey erhobenen Anklage gegen die russischen Staatsangehörigen Artur Sungatov und Ivan Kondratyev (der auch unter dem Namen "Bassterlord" aufgetreten sei), bekannt. Den beiden wird vorgeworfen, die Ransomware Lockbit in zahlreichen Fällen in den Vereinigten Staaten eingesetzt zu haben.

So gefährlich ist Lockbit

Lockbit hat seit Ende 2019 zahlreiche Unternehmen - oft auch aus dem Mittelstand - ins Visier genommen und dabei im Laufe der Zeit unterschiedliche Erpressungsstrategien und Technologien eingesetzt. Lockbit rangierte zuletzt im "Sophos Active Adverary Report" (von August 2023) auf Platz Eins in der Liste der "Top-Gefahren".

WithSecure-Experte Mikko Hyppönen postete bei LinkedIn zur Nachricht eine Grafik auf Basis von Daten seines Unternehmens. Sie zeigt, dass Lockbit für 20 Prozent der Ransomware-Angriffe verantwortlich war - gefolgt von den Gruppen Clop (10 Prozent) sowie Alphv und Blackcat (jeweils 8,82 Prozent).
Foto: WithSecure

Im Malware-Report von Check Point Software war "LockBit3" im Januar 2024 die aktivste Ransomware-Gruppe und alleine für 20 Prozent aller bekanntgewordenen Angriffe verantwortlich. Auch Europol bezeichnet Lockbit als die "gefährlichte Ransomware" und führt das einerseit auf die Anpassungsfähigkeit, andererseits aber auch hunderte, weltweit rekrutierte Helfer zurück. Weltweit sind den Behörden zufolge Tausende Firmen Opfer der Bande geworden.

Wie schwer ist Lockbit angeschlagen?

"Stand heute ist LockBit ausgesperrt. Wir haben die Leistungsfähigkeit und vor allem die Glaubwürdigkeit einer Gruppe beschädigt, die auf Geheimhaltung und Anonymität angewiesen war", erklärt Graeme Biggar, Generaldirektor der National Crime Agency.

"Ein Großteil ihrer Infrastruktur ist immer noch online, was wahrscheinlich bedeutet, dass sie sich dem Zugriff der Polizei entzieht und die Kriminellen noch nicht gefasst worden sind", gibt Chester Wisniewski, Director, Global Field CTO bei Sophos, in Bezug auf Lockbit zu bedenken.
Foto: Sophos Technology GmbH

Er ergänzt jedoch: "Unsere Arbeit hört hier nicht auf. Lockbit versucht möglicherweise, sein kriminelles Unternehmen wieder aufzubauen. Wir wissen jedoch, wer sie sind und wie sie funktionieren. Wir sind hartnäckig und werden in unseren Bemühungen, diese Gruppe und jeden, der mit ihr in Verbindung steht, ins Visier zu nehmen, nicht nachlassen."

„Lockbit hat in der Vergangenheit eine hohe Widerstandsfähigkeit bewiesen, und größere Leaks und Umbrüche überlebt. Daher wissen wir noch nicht, welche Auswirkungen die jetzigen Abschaltungen auf die Handlungsfähigkeit von Lockbit im Betrieb haben werden“, fasst Rüdiger Trost, Cybersecurity-Experte bei WithSecure, den aktuellen Wissenstand zusammen.
Foto: WithSecure

Der britische Fernsehsender Sky will bereits erfahren haben, dass ein Angehöriger von Lockbit über eine verschlüsselte Messaging-App mitgeteilt habe, dass die Gruppe (im Gegensatz zu vielen ihrer Opfer) über Backup-Server verfüge. Die seien nicht in die Hände der Strafverfolgungsbehörden gefallen.

"Alles, was Operationen der Ransomware-Gruppe stört und Misstrauen unter ihren Partnern sät, ist ein großer Gewinn für die Strafverfolgung" sagt Chester Wisniewski, Director, Global Field CTO bei Sophos. Er warnt aber auch: "Wir sollten jedoch nicht zu früh feiern." Die von Sky kolportierte Nachricht hält er für glaubwürdig.

Mit diesem Steckbrief sucht das FBI nach Mikhail Matveev, dem die Zugehörigkeit zur Ransomware-Gruppe Lockbit vorgeworfen und dem zahlreiche Straftaten zur Last gelegt werden.
Foto: FBI

"Lockbit ist zur produktivsten Ransomware-Gruppe avanciert, seit Conti Mitte 2022 von der Bildfläche verschwunden ist. Die Häufigkeit ihrer Angriffe und die Tatsache, dass sie unbegrenzt Infrastrukturen lahmlegen können, hat sie in den letzten Jahren zur gefährlichsten Gruppe gemacht", sagt Wisniewski. "Ein Großteil ihrer Infrastruktur ist immer noch online, was wahrscheinlich bedeutet, dass sie sich dem Zugriff der Polizei entzieht und die Kriminellen noch nicht gefasst worden sind."

„Dieser Schlag könnte einen signifikanten Einfluss auf das Cybercrime-Ökosystem insgesamt haben", kommentiert Rüdiger Trost, Cybersecurity-Experte bei WithSecure. Auch er schränkt aber ein: "Die Frage ist: Wie tief konnte die Operation Cronos in die internen Funktionen und Kommunikationen von Lockbit hineinblicken?“