Weitere Informationen über die Geschäftstätigkeit der LockBit-Ransomware-Bande sind aufgetaucht, einen Tag nachdem es der britischen National Crime Agency (NCA) und ihren Partnern offenbar gelungen ist, die Gruppe zu stören und ihre Leak-Site zu verunstalten.
Laut The Register hat die NCA 187 Gruppen und Einzelpersonen gefunden, die im LockBit-Partnerportal registriert sind. LockBit basierte auf einem Ransomware-as-a-Service (RaaS)-Modell, bei dem sich verschiedene Gruppen anmeldeten und den Verschlüsseler und die Infrastruktur nutzten, als Gegenleistung für einen Teil des Gewinns (im Wesentlichen die Lösegeldzahlung).
Nach Angaben der Strafverfolgungsbehörden haben sich die Partner zwischen dem 31. Januar 2022 und dem 5. Februar 2024 registriert.
„Einen schönen Tag noch“
„Hallo [user name]Die Strafverfolgungsbehörden haben die Kontrolle über die Plattform von LockBit übernommen und alle dort gespeicherten Informationen erhalten. Diese Informationen beziehen sich auf die LockBit-Gruppe und Sie, ihren Partner“, sagte die NCA in einer Nachricht, die nach der Verunstaltung auf dem Partnerportal hinterlassen wurde. „Wir haben Quellcode, Details zu den Opfern, die Sie angegriffen haben, den erpressten Geldbetrag, die gestohlenen Daten, Chats und vieles mehr.“ Sie können Lockbitsupp und seiner fehlerhaften Infrastruktur für diese Situation danken … wir werden uns möglicherweise sehr bald mit Ihnen in Verbindung setzen.“
„Wenn Sie direkt mit uns Kontakt aufnehmen möchten, nehmen Sie bitte Kontakt mit uns auf. Einen schönen Tag noch.“
LockBit ist eine in Russland ansässige Ransomware-Gruppe, die als eine der größten Bedrohungen – wenn nicht sogar als die größte Bedrohung – in der Ransomware-Branche galt. Angesichts des Standorts sind Verhaftungen höchst unwahrscheinlich, aber der NCA gelang es zusammen mit dem FBI und einer Reihe anderer Strafverfolgungsbehörden, die Infrastruktur von LockBit zu infiltrieren und zu zerstören. Ob LockBit in der einen oder anderen Form zurückkehrt oder nicht, bleibt abzuwarten. Da die Strafverfolgungsbehörden ihre Aufmerksamkeit jedoch auf die verbundenen Unternehmen richten, ist es möglich, dass sich die Ransomware-Branche für immer verändern wird.
„Eine große Datenmenge wurde von der LockBit-Plattform exfiltriert, bevor sie vollständig beschädigt wurde“, heißt es nun auf der LockBit-Website. „Anhand dieser Daten werden die NCA und ihre Partner weitere Untersuchungen koordinieren, um die Hacker zu identifizieren, die dafür bezahlen, ein LockBit-Partner zu sein. Einige grundlegende Details werden hier zum ersten Mal veröffentlicht.“
Ciaran Martin, der ehemalige Leiter des britischen National Cyber Security Centre, sagte gegenüber der BBC, dass dies „eine der folgenreichsten Störungen war, die jemals gegen einen Ransomware-Betreiber unternommen wurde“. „Sicherlich die mit Abstand größte, die jemals von der britischen Polizei geführt wurde.“
