Wolframer die Webseite jener berüchtigten Hackerbande Lockbit besucht, findet dort üblicherweise Informationen zu den neuesten Opfern jener Cyberkriminellen. Am Montagabend hingegen stand gen jener Lockbit-Seite nur eine Information: „Diese Website steht jetzt unter jener Kontrolle jener National Crime Agency des Vereinigten Königreichs, die intim mit dem FBI und jener internationalen Strafverfolgungs-Task-Force ,Operation Cronos’ zusammenarbeitet.“
Dem war eine monatelange Operation internationaler Ermittler vorausgegangen, teilte die europäische Strafverfolgungsbehörde Europol dann am Dienstag mit. An jener „Operation Cronos“ beteiligt waren Deutschland, Frankreich, Japan, die Schweiz, Kanada, Australien, Schweden, die Niederlande und Finnland. Die Ermittler nach sich ziehen nachdem eigenen Angaben nicht nur die Webseite und andere kritische Infrastruktur jener Hacker abgeschaltet, sondern gleichermaßen zwei Akteure jener Gruppe in Polen und jener Ukraine festgenommen. In Sicherheitskreisen ist man sich sicher, dass die Gruppe ihren Ursprung in Russland hat. Die Behörden nach sich ziehen zudem mehr qua 200 Kryptowährungskonten tiefgekühlt, die mit jener Hackergruppe in Verbindung stillstehen.
In Fachkreisen geht man davon aus, dass die Strafverfolgungsbehörden eine nicht gepatchte Schwachstelle in jener Skriptsprache PHP ausgenutzt nach sich ziehen. Das entbehrt nicht einer gewissen Ironie, ist dies Ausnutzen solcher ungepatchten IT-Sicherheitslücken doch üblicherweise dies Geschäftsmodell Lockbits und seiner Partner.
Alte Hacker unter neuem Label?
Strafverfolgungsbehörden nach sich ziehen in den vergangenen Jahren ihre Taktik im Vergleich zu Cyberkriminellen geändert: Weil die Verhaftung einzelner Akteure sich ob ihrer Herkunftsländer oft qua schwierig erweist, zerstören die Strafverfolger immer verschiedene Mal die Infrastruktur jener Hacker. „Man muss den Ermittlungsbehörden zu diesem Schlag gegen eine jener weltweit größten Cybercrime-Gangs gratulieren“, kommentiert Cybersicherheits-Experte Rüdiger Trost von WithSecure. Die Aktion habe Signalwirkung: „Selbst die stärksten Player können besiegt werden.“ Die Frage sei nun, wie tiefen Einblick die Ermittler in die internen Funktionen und Kommunikationen von Lockbit gewonnen nach sich ziehen.
Es gelte hingegen zu bedenken, „dass Lockbit in einem Markt agiert, in dem Wettbewerber nur darauf warten, ihren Platz einzunehmen“, sagt Sandra Joyce vom Cybersicherheitsspezialisten Mandiant, jener inzwischen zu Google gehört. Auch Trost hält es zum Besten von ein denkbares Szenario, dass zwar die Gruppe zerbreche, hingegen sich ihre Werkzeuge und Expertise an andere Hackerbanden verteile. Genau so sei es nachdem dem Aus jener Hackergruppe Conti gelaufen. Insbesondere in Ländern, in denen die Strafverfolgungsbehörden in petto sind, Verhaftungen vorzunehmen, würden wenige Betreiber hingegen wahrscheinlich aus Angst ihre Aktivitäten heruntersetzen oder vollkommen das Handtuch werfen, hofft Charles Carmakal, Technikchef wohnhaft bei Mandiant Consulting.
Der König jener Ransomware-Welt
Lockbit war bisher jener Marktführer zum Besten von sogenannte Ransomware-Angriffe, ein Fünftel aller derartigen Attacken sollen 2023 mit Lockbit-Software verübt worden sein. Dabei infiltrieren die Angreifer die Systeme von Unternehmen oder Behörden, verschlüsseln möglichst viele und wichtige Daten und verlangen dann Lösegeld zum Besten von die Rückgabe. Wer nicht zahlt, dessen Daten werden immer verschiedene Mal gleichermaßen publiziert. Der Digitalverband Bitkom beziffert die Schäden durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage zum Besten von 2023 gen 206 Milliarden Euro.
Lockbit agierte hier im hochgradig arbeitsteiligen Reich jener Cyberkriminellen qua eine Art Dienstleister: Die Bande stellt Schadsoftware in petto. Die tatsächlichen Angriffe zur Folge haben dann geschäftlich verbandelte Kriminelle aus, sie zur Folge haben gleichermaßen die Verhandlungen mit den Opfern. 80 Prozent des erpressten Lösegelds umziehen an die Lizenznehmer, jener Rest an Lockbit.
Zu Händen Aufsehen sorgten irgendwas Angriffe mit jener Lockbit-Erpressersoftware gen den deutschen Autozulieferer Continental oder die britische Post. Einige betroffene Unternehmen können hingegen nun darauf wünschen, ihre Daten zurückführen zu können. Die Ermittlungsbehörden nach sich ziehen wenige Entschlüsselungscodes sichergestellt. Die Ermittlungsbehörden nach sich ziehen notdürftig 1000 Entschlüsselungscodes sichergestellt. Zu Händen Opfer von Ransomware ergebe es folglich immer Sinn, eine Kopie jener verschlüsselten Daten aufzubewahren, rät Cybersicherheitsexperte Rüdiger Trost. „Es ist nie unmöglich, dass jener Entschlüsselungscode plötzlich auftaucht“