LONDON –
Lockbit, eine berüchtigte Cyberkriminalitätsbande, die die Daten ihrer Opfer als Lösegeld erpresst, wurde einer seltenen internationalen Strafverfolgungsoperation der britischen National Crime Agency, dem US Federal Bureau of Investigation, Europol und einer Koalition internationaler Polizeibehörden zum Opfer gefallen, so ein Bericht von a Beitrag am Montag auf der Erpressungswebsite der Bande.
„Diese Website steht jetzt unter der Kontrolle der National Crime Agency des Vereinigten Königreichs und arbeitet eng mit dem FBI und der internationalen Strafverfolgungs-Task Force ‚Operation Cronos‘ zusammen“, heißt es in dem Beitrag.
Ein NCA-Sprecher bestätigte, dass die Agentur die Bande aufgelöst habe und sagte, die Operation sei „im Gange und werde sich weiterentwickeln“. Ein Vertreter von Lockbit antwortete nicht auf Nachrichten von Reuters mit der Bitte um Stellungnahme, postete jedoch Nachrichten auf einer verschlüsselten Messaging-App, in der es hieß, dass es Backup-Server gebe, die von der Strafverfolgungsmaßnahme nicht betroffen seien.
Das US-Justizministerium und das FBI reagierten nicht sofort auf Anfragen nach Kommentaren.
Der Beitrag nannte weitere internationale Polizeiorganisationen aus Frankreich, Japan, der Schweiz, Kanada, Australien, Schweden, den Niederlanden, Finnland und Deutschland. Lockbit und seine Tochtergesellschaften haben in den letzten Monaten einige der weltweit größten Organisationen gehackt. Die Bande verdient Geld, indem sie sensible Daten stiehlt und damit droht, diese preiszugeben, wenn die Opfer kein horrendes Lösegeld zahlen. Ihre Partner sind gleichgesinnte kriminelle Gruppen, die von der Gruppe rekrutiert werden, um Angriffe mit den digitalen Erpressungstools von Lockbit durchzuführen.
Ransomware ist Schadsoftware, die Daten verschlüsselt. Lockbit verdient Geld, indem es seine Ziele dazu zwingt, ein Lösegeld zu zahlen, um diese Daten mit einem digitalen Schlüssel zu entschlüsseln oder freizuschalten.
Lockbit wurde im Jahr 2020 entdeckt, als die gleichnamige Schadsoftware in russischsprachigen Foren zur Cyberkriminalität gefunden wurde, was einige Sicherheitsanalysten zu der Annahme veranlasste, dass die Bande ihren Sitz in Russland hat.
Die Bande hat jedoch keine Unterstützung für eine Regierung erklärt und keine Regierung hat sie offiziell einem Nationalstaat zugeordnet. Auf ihrer inzwischen nicht mehr existierenden Darkweb-Seite sagte die Gruppe, sie sei „in den Niederlanden ansässig, völlig unpolitisch und nur an Geld interessiert“.
„Sie sind der Walmart unter den Ransomware-Gruppen, sie führen es wie ein Unternehmen – das macht sie anders“, sagte Jon DiMaggio, Chef-Sicherheitsstratege bei Analyst1, einem US-amerikanischen Cybersicherheitsunternehmen. „Sie sind heute wohl die größte Ransomware-Crew.“
Beamte in den Vereinigten Staaten, wo Lockbit mehr als 1.700 Organisationen in nahezu allen Branchen angegriffen hat, von Finanzdienstleistungen und Lebensmittel bis hin zu Schulen, Transportwesen und Regierungsbehörden, haben die Gruppe als die weltweit größte Ransomware-Bedrohung bezeichnet.
Im November letzten Jahres veröffentlichte Lockbit interne Daten von Boeing, einem der weltweit größten Verteidigungs- und Raumfahrtunternehmen. Anfang 2023 kam es bei der britischen Royal Mail nach einem Angriff der Gruppe zu schweren Störungen.
‚Hoch signifikant‘
Laut vx-underground, einer Website für Cybersicherheitsforschung, sagte Lockbit in einer Erklärung auf Russisch, die auf Tox, einer verschlüsselten Messaging-App, geteilt wurde, dass das FBI seine Server angegriffen habe, die mit der Programmiersprache PHP laufen. Die Aussage, die Reuters nicht unabhängig überprüfen konnte, fügte hinzu, dass es Backup-Server ohne PHP gibt, die „nicht berührt“ werden.
Bei von erpresstem Geld, gestohlenen Daten, Chats und vielem mehr“, hieß es.
„Vielleicht werden wir uns schon bald mit Ihnen in Verbindung setzen“, hieß es weiter. „Einen schönen Tag noch.“
Bevor es abgeschaltet wurde, zeigte die Website von Lockbit eine ständig wachsende Galerie von Opferorganisationen, die fast täglich aktualisiert wurde. Neben ihren Namen hingen Digitaluhren, die die Anzahl der Tage anzeigten, die jeder Organisation bis zum Ablauf der Frist für die Zahlung des Lösegelds verblieben waren.
Am Montag wurde auf der Website von Lockbit ein ähnlicher Countdown angezeigt, allerdings von den Strafverfolgungsbehörden, die die Hacker gehackt haben: „Kehren Sie hierher zurück, um weitere Informationen zu erhalten: Dienstag, 20. Februar, 11:30 Uhr GMT.“ hieß es in dem Beitrag.
Don Smith, Vizepräsident von Secureworks, einem Zweig von Dell Technologies, sagte, Lockbit sei der produktivste und dominanteste Ransomware-Betreiber in einem hart umkämpften Untergrundmarkt.
„Um die heutige Abschaltung in einen Zusammenhang zu bringen: Basierend auf den Daten von Leak-Sites hatte Lockbit einen Anteil von 25 Prozent am Ransomware-Markt. Ihr nächster Konkurrent war Blackcat mit etwa 8,5 Prozent, und danach beginnt es wirklich zu fragmentieren“, sagte Smith.
„Lockbit hat alle anderen Gruppen in den Schatten gestellt und die heutige Aktion ist von großer Bedeutung.“
——–
Berichterstattung von James Pearson; Zusätzliche Berichterstattung von Christopher Bing in Washington und Karen Freifeld in New York; Bearbeitung durch Lisa Shumaker und Leslie Adler
