Der Betrieb der LockBit Ransomware Gang wurde mit Verhaftungen und Anklagen eingestellt

Die illegalen Aktivitäten der LockBit-Ransomware-Bande wurden durch die jüngste Ankündigung der britischen National Crime Agency (NCA) erheblich gestört. Die NCA gab bekannt, dass sie den Quellcode von LockBit erfolgreich erworben und über Operation Cronos, eine spezielle Task Force, Informationen über ihre Operationen und verbundene Gruppen gesammelt hat.

Eine wichtige Enthüllung der NCA ist, dass die auf den Systemen von LockBit gefundenen Daten Informationen von Opfern enthielten, die bereits ein Lösegeld gezahlt hatten, was im Widerspruch zu den Versprechen der Kriminellen stand, diese Daten zu löschen. Dies unterstreicht die Risiken, die mit der Einhaltung von Lösegeldforderungen verbunden sind.

Darüber hinaus bestätigte die NCA die Festnahme von zwei mit LockBit in Verbindung stehenden Personen in Polen und der Ukraine. Darüber hinaus wurden über 200 mit der Gruppe verbundene Kryptowährungskonten eingefroren und in den USA wurden Anklagen gegen zwei russische Staatsbürger erhoben, die angeblich an LockBit-Angriffen beteiligt waren.

Artur Sungatov und Ivan Gennadievich Kondratiev, bekannt als Bassterlord, wurden beschuldigt, LockBit gegen zahlreiche Opfer eingesetzt zu haben, darunter Unternehmen aus verschiedenen Branchen in den USA und weltweit. Gegen Kondratyev drohen weitere Anklagen im Zusammenhang mit der Verwendung der Ransomware-Variante Sodinokibi (REvil).

Die jüngsten Maßnahmen erfolgen im Anschluss an einen internationalen Versuch, LockBit zu stören, das von der NCA als eine der schädlichsten Cyberkriminalitätsgruppen weltweit bezeichnet wird. Im Rahmen der Operation übernahm die Agentur die Kontrolle über die Dienste von LockBit und infiltrierte das gesamte kriminelle Netzwerk, einschließlich Affiliate-Verwaltungsumgebungen und Dark-Web-Leak-Sites.

Darüber hinaus wurden 34 Server von LockBit-Partnern demontiert und die Behörden haben über 1.000 Entschlüsselungsschlüssel von beschlagnahmten Servern beschlagnahmt. LockBit ist seit Ende 2019 tätig und arbeitet nach einem Ransomware-as-a-Service-Modell, bei dem Verschlüsselungsgeräte an Partner lizenziert werden, die gegen einen Teil des Lösegelds Angriffe ausführen.

Die Angriffe von LockBit beinhalten doppelte Erpressungstaktiken, bei denen sensible Daten vor der Verschlüsselung gestohlen werden, was den Druck auf die Opfer erhöht, für die Verhinderung von Datenlecks zu zahlen. Die Gruppe hat auch mit dreifacher Erpressung experimentiert und neben traditionellen Lösegeldtaktiken auch DDoS-Angriffe integriert.

Benutzerdefinierte Tools wie StealBit erleichtern die Datenexfiltration, indem Behörden die Infrastruktur beschlagnahmen, die für die Organisation und Übertragung von Opferdaten verwendet wird. Nach Angaben von Eurojust und dem DoJ waren weltweit über 2.500 Opfer von LockBit-Angriffen betroffen, die zu illegalen Gewinnen von über 120 Millionen US-Dollar führten.

NCA-Generaldirektor Graeme Biggar betonte den Erfolg der gemeinsamen Bemühungen bei der Lähmung des LockBit-Betriebs und hob den Erwerb wichtiger Schlüssel hervor, um den Opfern bei der Entschlüsselung ihrer Systeme zu helfen. Er warnte auch davor, dass LockBit zwar einen Wiederaufbau versuchen könnte, die Strafverfolgungsbehörden sich jedoch ihrer Identität und Methoden bewusst seien, was auf einen erheblichen Schlag für ihre Glaubwürdigkeit und Fähigkeiten hindeutet.