Strafverfolgungsbehörden gehen mit zahlreichen Festnahmen und Beschlagnahmungen der Infrastruktur gegen LockBit-Hacker vor, um das globale Ransomware-Netzwerk zu entschlüsseln

Die Welt der Cyberkriminalität musste diese Woche einen weiteren schweren Schlag hinnehmen, als internationale Strafverfolgungsbehörden wichtige Mitglieder der berüchtigten LockBit-Ransomware -Gruppe ausschalteten. Ankündigungen von Europol, den US-amerikanischen und britischen Behörden betonten eine koordinierte Anstrengung, die Infrastruktur hinter einer der produktivsten Ransomware-Operationen der Welt zu zerschlagen.

LockBit-Hacker festgenommen, Server beschlagnahmt

Am Dienstag nutzten die Behörden die beschlagnahmten Websites der LockBit-Ransomware-Gruppe, um die Nachricht zu verbreiten. Europol und andere Behörden gaben mehrere Festnahmen bekannt, darunter die Festnahme eines mutmaßlichen LockBit-Entwicklers während seines Urlaubs. Der von Frankreich angeforderte Entwickler wurde außerhalb Russlands gefasst, was einen großen Erfolg bei der Verfolgung wichtiger Figuren der Operation darstellt. Gleichzeitig wurden in Großbritannien zwei Personen festgenommen, weil sie einem LockBit-Tochterunternehmen geholfen hatten.

Weiter südlich in Spanien nahm die Polizei einen wichtigen Akteur fest: den Administrator eines kugelsicheren Hosting-Dienstes, der die Infrastruktur von LockBit unterstützte. Diese Operation führte zur Beschlagnahmung von neun Servern, ein gewaltiger Fortschritt bei der Zerschlagung des Cybercrime-Netzwerks der Gruppe. Die Behörden sind davon überzeugt, dass die erbeuteten Daten für die Strafverfolgung der Kernmitglieder und Verbündeten von LockBit von entscheidender Bedeutung sein werden.

Die Verbindung zu Evil Corp aufdecken

Eine der wichtigsten Entwicklungen ist die Enttarnung von Aleksandr Viktorovich Ryzhenkov, einem russischen Staatsbürger, der als wichtiger LockBit-Partner und Mitglied der berüchtigten Evil Corp gilt – einer Cybercrime-Organisation, die sowohl für profitorientierte Ransomware-Angriffe als auch für angebliche Verbindungen zu russischen Cyber-Spionage-Operationen berüchtigt ist. Laut Behörden war Ryzhenkov unter dem Pseudonym „Beverley“ für die Erstellung von über 60 LockBit-Ransomware-Varianten verantwortlich und forderte mindestens 100 Millionen US-Dollar Lösegeld .

Interessanterweise wurde Ryzhenkov nicht für LockBit-bezogene Verbrechen angeklagt, sondern für Angriffe mit BitPaymer-Ransomware. Seine Beteiligung an Evil Corp und LockBit unterstreicht die Vernetzung vieler hochrangiger Cybercrime-Syndikate.

Operation Cronos: Der Anfang vom Ende für LockBit?

Die Abschaltung der LockBit-Infrastruktur im Februar 2024 im Rahmen der Operation Cronos war ein entscheidender Moment im weltweiten Kampf gegen Ransomware. Die Operation umfasste koordinierte Serverbeschlagnahmungen und die Verhaftung mehrerer Partner. Damals übernahm die britische National Crime Agency (NCA) sogar die Tor-Domänen von LockBit und nutzte sie für die Bekanntgabe dieser Erfolge der Strafverfolgungsbehörden.

Die Behörden identifizierten und klagten später Dimitry Yuryevich Khoroshev an, den Drahtzieher hinter LockBit, das im Internet als „LockBitSupp“ bekannt ist. Khoroshev soll LockBit erstellt und betrieben und dabei über 100 Millionen Dollar illegale Gewinne gemacht haben. Auf ihn ist ein Kopfgeld von 10 Millionen Dollar ausgesetzt, und er bleibt einer der meistgesuchten Cyberkriminellen der Welt.

Ein beflecktes Erbe

LockBit wurde zwar durch die jüngsten Operationen stark geschwächt, aber es scheint, als sei die Gruppe nicht völlig verschwunden. Im Mai tauchte LockBit kurzzeitig als eine der aktivsten Ransomware-Operationen wieder auf, aber einige Experten spekulierten, dass dies nur ein Ablenkungsmanöver war, um den wahren Zustand des kriminellen Unternehmens zu verschleiern. Bis zum Ende des Sommers waren die Angriffe von LockBit deutlich zurückgegangen. Zuletzt behauptete LockBit, es habe sich um einen Hackerangriff auf die US-Notenbank gehandelt, obwohl die durchgesickerten Daten einem viel kleineren Finanzdienstleistungsunternehmen gehörten.

Sicherheitsforscher stellten fest, dass die von LockBit veröffentlichten Websites Ende September offline waren. Obwohl einige später wieder auftauchten, wurden sie seit Mai nicht mehr aktualisiert, was auf einen möglichen internen Zusammenbruch hindeutet. Ein Beitrag der NCA auf einer dieser Websites betonte, dass die Operation Cronos LockBit schwer geschädigt habe, und dass viele Mitglieder die Gruppe zugunsten anderer Ransomware-as-a-Service-Plattformen (RaaS) verlassen hätten.

In einer Erklärung wies die NCA darauf hin, dass die jüngsten Behauptungen der Opfer von LockBit größtenteils übertrieben oder schlichtweg erfunden seien, was den ohnehin schlechten Ruf der Gruppe weiter schädige.

Wie geht es weiter mit der globalen Cybersicherheit?

Die Ausschaltung von LockBit ist ein Sieg im anhaltenden Kampf gegen Ransomware, aber der Kampf ist noch lange nicht vorbei. Cybercrime-Syndikate passen sich weiterhin an, und wenn die Strafverfolgungsbehörden immer stärker werden, werden sich diese Organisationen wahrscheinlich aufspalten und weiterentwickeln, was es möglicherweise schwieriger macht, sie zu verfolgen.

Angesichts der zunehmenden Verbreitung von Ransomware-Gruppen wie LockBit muss die Cybersicherheits-Community wachsam bleiben und sich auf die nächste Welle digitaler Bedrohungen einstellen. Angesichts der zunehmenden weltweiten Maßnahmen mag die Zukunft groß angelegter Ransomware-Angriffe ungewiss sein, aber eines ist klar: Die Strafverfolgungsbehörden sind bereit und gewillt, diese kriminellen Machenschaften zu zerschlagen, eine Verhaftung nach der anderen.