Ransomware: Behörden gelingt Schlag gegen Lockbit-Gruppe
In einer koordinierten Aktion von Strafverfolgungsbehörden aus insgesamt elf Ländern ist den Beteiligten ein wichtiger Schlag gegen die Ransomware-Macher von Lockbit gelungen, die auch als Lockbitsupp bekannt sind. Die Behörden haben demnach den zentralen Kommunikationskanal, eine Webseite im Darknet, übernommen. Über die Seite sind etwa Daten aus den Hacks geleakt worden. Federführend beteiligt an der Aktion waren die UK National Crime Agency (NCA) und das FBI, wie etwa Bloomberg(öffnet im neuen Fenster) und Reuters(öffnet im neuen Fenster) berichten.
Die gegen die Lockbit-Gruppe gerichtete Übernahme von Teilen der Infrastruktur wird demnach als Operation Cronos bezeichnet. Sprecher der NCA und des US-Justizministeriums bestätigten die Vorgänge und sagten weiter, dass die Operation noch weiter laufe und die Situation sich entsprechend weiter entwickele. Vollständig übernehmen konnten die beteiligten Behörden die Infrastruktur der Lockbit-Gruppe wohl aber nicht, wie Bleepingcomputer berichtet(öffnet im neuen Fenster) . Mehrere Seiten und Kommunikationsdienste sind laut dem Bericht weiterhin online.
Lockbit macht sich viele Feinde
Die Ransomware-Gruppe gilt als einer der gefährlichsten Cybercrime-Akteure der Welt. Im Juni vergangenen Jahres gab das BSI eine entsprechende Warnung heraus(öffnet im neuen Fenster) . Lockbit schreckt auch vor großen Konzernen nicht zurück. Allein im Jahr 2023 erpresste die Gruppe unter anderem den Flugzeughersteller Boeing , den Chiphersteller TSMC , das Raumfahrtunternehmen SpaceX sowie die ICBC , Chinas größte und zugleich die umsatzstärkste Bank der Welt.
Auch die Deutsche Energie-Agentur Dena wurde erst im November letzten Jahres von dieser Ransomware-Gruppe attackiert. Kurz vor Weihnachten kam es außerdem zu IT-Ausfällen in Kliniken der Katholischen Hospitalvereinigung Ostwestfalen , nachdem ein mutmaßlich mit der Ransomware Lockbit 3.0 durchgeführter Cyberangriff erfolgt war.
Das Besondere an Lockbit ist, dass diese auch als eine Art Ransomware-as-a-Service angeboten wird und damit andere Angreifer die Software verwenden können. Die ursprünglichen Autoren bekommen dafür dann einen Teil der erpressten Einnahmen. Wie es bei Bleepingcomputer weiter heißt, haben die Behörden auch die Infrastruktur für dieses Programm übernommen und drohen nun damit, gegen diese Ransomware-Partner der Lockbit-Gruppe vorzugehen.
Über das konkrete Vorgehen der Behörden ist derzeit nichts offiziell bekannt. Wie VX-Underground, eine Community zum Sammeln und zum Austausch über Malware, jedoch unter Berufung auf die Lockbit-Gruppe berichtet(öffnet im neuen Fenster) , sollen sich die Strafverfolgungsbehörden unter Ausnutzung einer Lücke in PHP Zugriff auf die Webseiten verschafft haben. Weiter heißt es, dass weitere Teile der Infrastruktur, insbesondere die Backup-Server, nicht kompromittiert worden seien und die Lockbit-Gruppe ihre Technik wieder herstellen wolle(öffnet im neuen Fenster) .