Lockbit: Schädlichste Ransomware-Gruppe der Welt ausgehoben

Ermittlungsbehörden aus 14 Staaten unter Führung der britischen National Crime Agency haben die Erpressergruppe Lockbit ausgehoben. Server auf der ganzen Welt wurden abgeschaltet, mehr als 200 Kryptowährungskonten und weitere 14.000 betrügerische Konten sichergestellt.

14 Staaten haben eng zusammengearbeitet, um Lockbit zu zerschlagen.

Image:
14 Staaten haben eng zusammengearbeitet, um Lockbit zu zerschlagen.

Schäden in Milliardenhöhe hat die professionell agierende digitale Erpressergruppe Lockbit verursacht. 14 Staaten auf der ganzen Welt haben unter der koordinierenden Führung der britischen National Crime Agency sowie Europol und Eurojust in Europa in monatelanger Zusammenarbeit ihre Erkenntnisse geteilt. Die "Operation Cronos" der internationalen Taskforce konnte nun einen großen Erfolg melden: In einer Razzia wurden unter anderem 34 Server in den Niederlanden, Deutschland, Finnland, Frankreich, der Schweiz, Australien, den Vereinigten Staaten und dem Vereinigten Königreich abgeschaltet, mehr als 200 Kryptowährungskonten, die mit der kriminellen Organisation in Verbindung stehen, eingefroren sowie 14 000 betrügerische Konten identifiziert, die der Exfiltration oder der Infrastruktur der Cyberkriminellen dienten, an die Strafverfolgungsbehörden übermittelt.

Auf Ersuchen der französischen Justizbehörden wurden zwei Lockbit-Akteure in Polen und der Ukraine verhaftet. Drei internationale Haftbefehle und fünf Anklageschriften wurden ebenfalls von den französischen und US-amerikanischen Justizbehörden ausgestellt.

Derzeit sind die Strafverfolgungsbehörden im Besitz einer großen Menge an Daten, die während der Ermittlungen gesammelt wurden. Diese Daten werden zur Unterstützung laufender internationaler operativer Aktivitäten verwendet, die sich auf die Anführer dieser Gruppe sowie auf Entwickler, verbundene Unternehmen, Infrastruktur und kriminelle Vermögenswerte im Zusammenhang mit diesen kriminellen Aktivitäten konzentrieren.

In Deutschland war das BKA und das Landeskriminalamt in Schleswig-Holstein an den Ermittlungen beteiligt.

Ransomware as a Service in einer Art "Channel-Vertrieb"

Lockbit tauchte erstmals Ende 2019 auf und nannte sich zunächst "ABCD"-Ransomware. Seitdem hat sie sich rasant entwickelt und wurde 2022 zur weltweit am häufigsten eingesetzten Ransomware-Variante. Die Gruppe ist ein "Ransomware-as-a-Service"-Unternehmen, d. h. ein Kernteam erstellt seine Malware und betreibt seine Website, während es seinen Code an verbundene Unternehmen lizenziert, die dann Angriffe starten.

Lockbit hat weltweit Hunderte von Partnern rekrutiert, um Ransomware-Operationen mit Lockbit-Tools und -Infrastruktur durchzuführen. Die Lösegeldzahlungen wurden zwischen dem Lockbit-Kernteam und den angeschlossenen Unternehmen aufgeteilt, die im Durchschnitt drei Viertel der eingenommenen Lösegeldzahlungen erhielten.

Die Ransomware-Gruppe ist auch dafür berüchtigt, mit neuen Methoden zu experimentieren, um ihre Opfer zur Zahlung von Lösegeld zu zwingen. Die dreifache Erpressung ist eine dieser Methoden, die die traditionellen Methoden der Verschlüsselung der Daten des Opfers und die Drohung, sie weiterzugeben, umfasst. Auch DDoS-Angriffe (Distributed Denial-of-Service) als zusätzliche Druckmittel setzten die Kriminellen ein.

Entschlüsselungstools auf "No More Ransom" verfügbar

Mit der Unterstützung von Europol haben die japanische Polizei, die National Crime Agency in Großbritannien und das Federal Bureau of Investigation in den USA ihr technisches Fachwissen gebündelt, um Entschlüsselungstools zu entwickeln, mit denen von der Lockbit-Ransomware verschlüsselte Dateien wiederhergestellt werden können.

Diese Lösungen wurden auf dem Portal "No More Ransom" in 37 Sprachen kostenlos zur Verfügung gestellt. Bisher haben mehr als 6 Millionen Opfer auf der ganzen Welt von No More Ransom profitiert, das über 120 Lösungen zur Entschlüsselung von mehr als 150 verschiedenen Arten von Ransomware enthält, meldet Europol.