In den letzten vier Jahren war die Ransomware-Gruppe LockBit unerbittlich am Werk, hackte sich in Tausende von Unternehmen, Schulen, medizinischen Einrichtungen und Regierungen auf der ganzen Welt ein – und verdiente dabei Millionen. Ein Kinderkrankenhaus, Boeing, die britische Royal Mail und die Sandwich-Kette Subway waren allesamt aktuelle Opfer.
Doch die Hacking-Kampagne von LockBit ist jäh zum Erliegen gekommen. Eine umfassende Strafverfolgungsoperation, die von der Polizei der britischen National Crime Agency (NCA) geleitet wurde und an der Ermittler von 10 Polizeikräften auf der ganzen Welt beteiligt waren, hat die Ransomware-Gruppe infiltriert hat seine Systeme offline genommen.
Graeme Biggar, der Generaldirektor der NCA, sagt, die Gruppe sei „grundlegend zerrüttet“ worden. Die Strafverfolgungsoperation namens Operation Cronos hat die Kontrolle über die Infrastruktur und das Verwaltungssystem von LockBit übernommen, seine Dark-Web-Leak-Site beschlagnahmt, auf den Quellcode zugegriffen, rund 11.000 Domains und Server beschlagnahmt und Einzelheiten zu den Mitgliedern der Gruppe erhalten. „Stand heute ist LockBit praktisch überflüssig“, sagte Biggar auf einer Pressekonferenz in London, bei der er zusammen mit Strafverfolgungsbeamten des FBI und von Europol erschien. „Wir haben die Hacker gehackt“, sagt er.
Die Aktion ist eine der größten und möglicherweise bedeutsamsten, die jemals gegen eine Cyberkriminalitätsgruppe ergriffen wurde. Laut Biggar halten die Strafverfolgungsbehörden LockBit, das globaler Natur ist, für die „produktivste und schädlichste“ Ransomware-Gruppe, die in den letzten Jahren aktiv war. Es war im vergangenen Jahr für 25 Prozent der Angriffe verantwortlich. „LockBit-Ransomware hat Verluste in Milliardenhöhe verursacht“, sagt Biggar über die Gesamtkosten von Angriffen und Wiederherstellung.
Neben der Beschlagnahmung technischer Infrastruktur umfassen die Strafverfolgungsmaßnahmen rund um LockBit auch Festnahmen in Polen, der Ukraine und der Ukraine Vereinigte Staatensowie Sanktionen gegen zwei mutmaßliche Mitglieder der Gruppe, die in Russland ansässig sind. Die Mitglieder der Gruppe seien über die ganze Welt verteilt, sagten die Beamten.
Nicole Argentieri, amtierende stellvertretende Generalstaatsanwältin im US-Justizministerium, sagt, LockBit habe mehr als 120 Millionen US-Dollar an Ransomware-Zahlungen erhalten und die angekündigte Maßnahme gegen die Gruppe sei erst der Anfang des Vorgehens.
Das Vorgehen der Strafverfolgungsbehörden gegen LockBit wurde erstmals bekannt, als die Ransomware-Website des Unternehmens am 19. Februar offline ging und durch eine Sperrseite mit dem Hinweis ersetzt wurde, dass sie von der Polizei beschlagnahmt worden sei. Die LockBit-Gruppe, die zunächst als „ABCD“ firmierte, bevor sie ihren Namen änderte, trat erstmals Ende 2019 in Erscheinung. Seitdem hat LockBit schnell Unternehmen angegriffen und seinen Bekanntheitsgrad im Ökosystem der Cyberkriminalität ausgebaut. „LockBit ist Unternehmen und Regierungen seit Jahren ein Dorn im Auge, mit weit über 3.000 öffentlich bekannten Opfern [has been] scheinbar unantastbar“, sagt Allan Liska, ein auf Ransomware spezialisierter Analyst für das Cybersicherheitsunternehmen Recorded Future. Die lange Liste der Opfer von Lockbit umfasst verschiedene US Regierung Organisationen, HäfenUnd Automobilunternehmen.
LockBit ist ein Ransomware-as-a-Service-Unternehmen, bei dem eine Handvoll Kernmitglieder seine Malware erstellen und seine Website und Infrastruktur betreiben. Diese Kerngruppe lizenziert ihren Code an „Affiliates“, die Angriffe gegen Unternehmen starten, deren Daten stehlen und versuchen, Geld von ihnen zu erpressen. „LockBit ist das letzte der ‚Open Affiliate‘-Ransomware-as-a-Service-Angebote, was bedeutet, dass jeder, der bereit ist, das Geld auszugeben, ohne oder mit geringer Prüfung an ihrem Programm teilnehmen kann“, sagt Liska. „Sie hatten im Laufe ihres Bestehens wahrscheinlich Hunderte von Partnern.“