Mit der Software der Hackergruppe Lockbit wurden über 2000 Organisationen im Westen angegriffen. Nun sind zwei mutmaßliche Mitglieder der Gruppe festgenommen worden. Offenbar betrieben die Kriminellen auch Server in der Schweiz und in Deutschland.
Ein internationales Team aus Ermittlungsbehörden hat nach eigenen Angaben die Hackergruppe Lockbit zerschlagen. Dies hat am Dienstagmorgen erstmals die britische Strafverfolgungsbehörde National Crime Agency (NCA) berichtet.
Lockbit wird vorgeworfen, Tausende Unternehmen und Organisationen mit Schadsoftware erpresst zu haben, ihre Daten gestohlen, verschlüsselt und, falls kein Lösegeld bezahlt wurde, veröffentlicht und die Daten verkauft zu haben.
Gemeinsam mit der Europol-Mitteilung sind nun zwei mutmaßliche Mitglieder der Gruppe verhaftet worden, eines in Polen und eines in der Ukraine.
Weiter wurden über 200 Geldbörsen in Kryptowährungen eingefroren und 14 000 «Schurkenprofile» gesperrt. Die Profile, von denen nicht bekannt wurde, auf welchen Plattformen sie gehostet sind, wurden von Lockbit-Mitgliedern mutmasslich dazu verwendet, gestohlene Daten von erpressten Organisationen zu speichern und Angriffe vorzubereiten und durchzuführen, schreibt das IT-Portal Bleeping Computer.
Aus der Europol-Mitteilung geht weiter hervor, dass Lockbit auch Infrastruktur hierzulande betrieb. So sind 34 Server mit Verbindungen zur Gruppe ausgeschaltet worden, darunter Systeme in Deutschland, der Schweiz, den Niederlanden, Finnland, Australien und in den USA.
Weiter haben die Ermittler drei internationale Haftbefehle und fünf Anklagen gegen mutmaßliche Lockbit-Mitglieder veröffentlicht. Zwei der Angeklagten sind bekannt: Es handelt sich um die Russen Artur Sungatow und Iwan Kondratjew, besser bekannt unter seinem Alias „Bassterlord“.
„Operation Cronos“ veröffentlicht den Strafbefehl auf der Website von Lockbit
Für den Coup haben Strafverfolgungsbehörden aus zehn westlichen Ländern zusammengearbeitet: aus Deutschland, der Schweiz, Frankreich, Großbritannien, den Niederlanden, Schweden, den USA, Kanada, Australien und Japan. Auf Seiten der Schweiz waren das Fedpol und die Kantonspolizei Zürich an den Ermittlungen beteiligt.
Das Ermittlungsteam namens «Operation Cronos» hat auch die Seite von Lockbit im Darknet unter seine Kontrolle gebracht. Reuters verbreitete am Dienstagmorgen einen Screenshot der beschlagnahmten Darknet-Seite mit dem Slogan: «Die Seite ist jetzt unter der Kontrolle der Polizei.»
Laut Recherchen der NZZ schalteten die Ermittler am Nachmittag verschiedene Meldungen auf der Darknet-Seite auf, unter anderem einen Strafbefehl für weitere Lockbit-Mitglieder und die Empfehlung für Opfer von Cybererpressungen, sich bei der Polizei zu melden.
„Wir haben die Hacker gehackt“, sagte Graeme Biggar, Direktor der britischen NCA, in einer Medieninformation.
Behörden scheinen nicht die vollständige Kontrolle zu haben
Wie vollständig die Kontrolle der Behörden über Lockbit ist, ist jedoch noch unklar. Der Sicherheitsforscher Kevin Beaumont schrieb am Dienstagmorgen in einem Beitrag auf Mastodon, dass drei Lockbit-Dienste noch immer online seien. Einer der Dienste biete noch immer gestohlene Daten zum Verkauf an. Die NZZ konnte dies in einer eigenen Recherche im Darknet bestätigen.
Weiter berichtete der britische TV-Sender Sky News, ein Lockbit-Vertreter habe über eine verschlüsselte Messaging-App mitgeteilt, die Gruppe habe Backup-Server, die von der Strafverfolgung nicht betroffen seien. Die Behauptung konnte nicht verifiziert werden.
Daten können jetzt entschlüsselt werden
Lockbit gehört zu den bedeutendsten Hackergruppen der Welt. Seine Software wurde laut der amerikanischen Justizbehörde für mehr als 2000 Angriffe verwendet, wobei 120 Millionen Dollar erpresst wurden.
2022 war Lockbit die am häufigsten eingesetzte Ransomware. Zu seinen prominentesten Opfern gehört der britische Postdienst Royal Mail und das französische Justizministerium.
Für die Opfer der Schadsoftware besteht nun Hoffnung. So haben die Behörden laut Europol ein Tool erstellt, mit dem Opfer ihre Daten entschlüsseln können. Dies ist über die Website „No More Ransom“ erreichbar.
Laut britischen Behörden ist Lockbit 2019 in russischsprachigen Foren aufgetaucht, weshalb einige Analysten annehmen, dass die Gruppe aus Russland stamme. Auf ihrer Website im Darknet hatte sie ihren Sitz mit den Niederlanden angegeben und betont, sie sei unpolitisch und interessiere sich nur für Geld. Allerdings wurde Mitte 2023 bereits ein Mitglied der Bande verhaftet, ein 20-jähriger Russe.
Lockbit schuf ein regelrechtes Ökosystem um seine Schadsoftware: Die Gruppe verkaufte das Programm an sogenannte Affiliates, also Partner, die damit die eigentlichen Angriffe auf Unternehmen und Behörden durchführten. Bei erfolgreichen Angriffen bezahlten die Affiliates einen Anteil des Lösegeldes an Lockbit, laut einer Anklageschrift aus den USA 20 Prozent. Die Rede ist daher von Ransomware-as-a-Service, auch Erpressungssoftware als Dienstleistung.
Denkbar wäre nun, dass Lockbit versucht, sein kriminelles Unternehmen wieder aufzubauen. Das ist auch den Behörden bewusst. „Unsere Arbeit endet hier nicht“, sagte der NCA-Chef Biggar. Jetzt weiß man aber, wer die Akteure sind und wie sie funktionieren.
Update vom 20. Februar, 23 Uhr: Eine frühere Version dieses Artikels erwähnte einen Post auf X über ein Schreiben, in dem sich Lockbit angeblich an seine Geschäftspartner wendet. Der Absender des Posts hat dieses Schreiben als Fälschung enttarnt.