Das Eingeständnis der Niederlage kam am späten Montagabend. Um 22:51 Uhr deutscher Zeit bestätigte ein Vertreter der Hackergruppe Lockbit gegenüber den Anti-Malware-Spezialisten von „VX-Underground“ den erfolgreichen Schlag internationaler Ermittlungsbehörden gegen die Cybergang: „FBI pwned me“ – zu Deutsch „das FBI hat mich gehackt“ –, so der lapidare Kommentar der Kriminellen im Netzjargon auf der Plattform „X“.
Tatsächlich hatten Cyberspezialisten von insgesamt 16 internationalen Ermittlungsbehörden das für seine Angriffe mit Erpressungsprogrammen – sogenannter Ransomware – berüchtigte Lockbit-Netzwerk infiltriert. Am Montag brachten die Ermittler weite Teile der Hacker-Infrastruktur der primär aus Russland agierenden Netzkriminellen in einer koordinierten Aktion unter Federführung der britischen National Crime Agency unter ihre Kontrolle.
Wie die europäische Polizeibehörde Europol am Dienstagmittag bestätigte, sei es gelungen, die primäre Plattform von Lockbit sowie andere Hacker-Infrastrukturen über mehrere Monate zu kompromittieren und nun weitgehend lahmzulegen. Das umfasse unter anderem die Abschaltung von 34 Servern in den Niederlanden, Deutschland, Finnland, Frankreich, der Schweiz, Australien, den Vereinigten Staaten und dem Vereinigten Königreich. Weiterhin wurden zwei Lockbit-Akteure auf Ersuchen der französischen Justizbehörden in Polen und der Ukraine verhaftet. Und schließlich hätten die Behörden „mehr als 200 Kryptowährungskonten eingefroren, die mit der kriminellen Organisation in Verbindung stehen“.
Informationen zu den sichergestellten Summen gibt es noch nicht. Doch Kenner der Szene rechnen mit Euro- oder Dollarbeträgen in Millionenhöhe, auf die die Ermittler nun Zugriff haben. „Ransomware stellt nach Einschätzung des BSI die größte Cyber-Bedrohung für Staat, Wirtschaft und Gesellschaft dar“, kommentierte Gerhard Schabhüser, Vizepräsident beim Bundesamt für Sicherheit in der Informationstechnik, bei der Vorstellung einer Untersuchung zu globalen Bedrohungslage durch Cyberkriminelle im vergangenen Jahr. „Unter den finanziell motivierten Akteuren ist Lockbit nach Einschätzung des BSI aktuell die größte Ransomware-Bedrohung in Deutschland wie auch weltweit.“
Und in der Tat war Lockbit an zahlreichen aufsehenerregenden Hackerangriffen beteiligt, so etwa im vergangenen Jahr in Großbritannien auf den Postdienstleister Royal Mail und in den USA auf den Flugzeughersteller Boeing. Im vergangenen Dezember wurden zudem unter anderem die Deutsche-Energie-Agentur sowie mehrere Kliniken Ziel von Lockbit-Erpressungsangriffen. Allein den USA werden der Gruppe Cyberattacken auf mehr als 1700 Organisationen aus mehreren Branchen vorgeworfen.
„Lockbit war zur produktivsten Ransomware-Gruppe avanciert, seit Conti Mitte 2022 von der Bildfläche verschwunden ist“, sagt Chester Wisniewski, Direktor und globaler Technologiechef beim britischen IT-Sicherheitsdienstleister Sophos. Die Häufigkeit ihrer Angriffe und die Tatsache, dass sie quasi unbegrenzt Infrastrukturen hätten lahmlegen können, habe Lockbit in den vergangenen Jahren zur gefährlichsten Gruppe weltweit für Angriffe mit Erpressungssoftware gemacht, erklärt Wisniewski. „Alles, was ihre Operationen stört und Misstrauen unter ihren Partnern und Lieferanten sät, ist ein großer Gewinn für die Strafverfolgung.“
Seit Montagabend prangen auf den Lockbit-Seiten im Darkweb, auf denen die Hacker bisher Informationen über erfolgreiche Raubzüge und Details der gestohlenen Firmendaten publiziert hatten, die Logos der beteiligten Sicherheitsbehörden und der Hinweis: „Diese Website steht jetzt unter der Kontrolle der National Crime Agency des Vereinigten Königreichs, die eng mit dem FBI und der internationalen Strafverfolgungs-Task Force „Operation Cronos“ zusammenarbeitet.“ Neben den Ermittlern aus Großbritannien und den USA waren an der Operation Strafverfolgungsbehörden aus Deutschland, Frankreich, Japan, der Schweiz, Kanada, Australien, Schweden, den Niederlanden und Finnland beteiligt, unterstützt von Europol und der EU-Justizbehörde Eurojust.
Wie umfassend der Schlag ist und wie nachhaltig Lockbit tatsächlich geschwächt ist, muss sich allerdings noch zeigen. Inzwischen haben Lockbit-Vertreter via Messenger mitgeteilt, die Gruppe habe Backup-Server, die von der Strafverfolgung nicht betroffen seien. „Wir sollten nicht zu früh feiern“, mahnt denn auch Experte Wisniewski. Ein Teil der Infrastruktur sei noch online, und wohl zumindest ein Teil der Kriminellen noch nicht gefasst. Dennoch sei der Schlag für die Ermittler ein Sieg, meint der Sophos-Experte, „wenn wir sie stören, ihre Angst, erwischt zu werden, schüren und die Schwierigkeiten beim Betrieb ihres kriminellen Syndikats erhöhen“.
Medienberichten zufolge wurde Lockbit 2020 entdeckt. Damals sei die Software in russischsprachigen Foren aufgetaucht, weshalb einige Analysten annehmen, dass die Gruppe aus Russland stamme. Auf seiner Website im Darknet, die nun von den Behörden kontrolliert wird, hatte die Gruppe ihren Sitz mit den Niederlanden angegeben und betont, sei unpolitisch und interessiere sich nur für Geld. Aktuell allerdings dürfte das Interesse der Hacker zunächst einmal vor allem darauf gerichtet sein, weiteren Zugriffen der Ermittler zu entgehen. Schließlich haben die Fahnder bei der jüngsten Aktion, laut Europol, „mehr als 14.000 betrügerische Konten identifiziert, die für die Exfiltration oder Infrastruktur verantwortlich sind, und zur Entfernung an die Strafverfolgungsbehörden weitergeleitet“.
Auf dem Portal „No More Ransom“ haben unterdessen die japanische Polizei, die National Crime Agency und die US-Bundespolizei FBI Entschlüsselungsprogramme publiziert, mit deren Hilfe Betroffene mit der Lockbit-Ransomware verschlüsselte Dateien zumindest teilweise wiederherstellen können. Insgesamt sind auf der Plattform mehr als 120 Anwendungen verfügbar, die in der Lage sind, mehr als 150 verschiedene Arten von Ransomware zu entschlüsseln. Alle Programme sind kostenlos und in 37 Sprachen verfügbar. Nach Angaben der Ermittler haben bisher weltweit mehr als sechs Millionen Opfer von „No More Ransom“ profitiert.
Lesen Sie auch: Wie Cybersicherheitsprofis ihre Fähigkeiten in virtuellen Wettkämpfen trainieren
