Vor einem Jahr nehmen Ermittler Mitglieder der Erpresserbande Lockbit fest, beschlagnahmen Bitcoins und schalten Server aus. Die «Operation Cronos» zeigt der Welt, wie man Hacker bestraft, die sich in Russland vor der Strafverfolgung verstecken.
Bei Robert McArdle steigt der Puls. Es ist der 7. Mai 2024, kurz vor 15 Uhr. Dann läuft der Countdown ab, und die Polizei wird den Namen des Chefs der Hackerbande Lockbit publik machen. Einer der erfolgreichsten Internetkriminellen der Welt wird in die Öffentlichkeit gezerrt. Und McArdle erfährt endlich, wer sich hinter dem Pseudonym LockbitSupp versteckt.
McArdle leitet die Cybercrime-Forschung beim IT-Sicherheits-Unternehmen Trend Micro. Er beschäftigt sich seit Jahren mit den kriminellen Machenschaften von Lockbit. In den Monaten zuvor hat er den Strafverfolgungsbehörden auf Anfrage immer wieder kleine Hinweise auf die Bande gegeben: einen Nutzernamen hier, eine IP-Adresse da.
Ein internationales Konsortium von Ermittlern ist solchen Spuren über Jahre nachgegangen und hat die Informationen zu einem Gesamtbild zusammengefügt. 2024 schlagen sie zu. «Operation Cronos» nennen die Ermittler die Polizeiaktion, die vor einem Jahr zum erfolgreichen Abschluss gekommen ist.
Und tatsächlich: McArdle wird nicht enttäuscht. Das FBI publiziert den Namen des Mannes, der als Kopf der Lockbit-Bande gilt. Es ist der Russe Dmitri Choroschew.
Choroschew hatte von sich das Image eines genialen Hackers kultiviert: brutal, arrogant und intelligenter als die Polizei. Er ist ein rücksichtsloser Schwerverbrecher, verantwortet Angriffe auf Tausende Unternehmen, darunter auch Spitäler und Schulen, verschlüsselte ihre Daten, erpresste sie um Hunderte Millionen von Dollar. Zeitweise ging fast jeder zweite Ransomware-Angriff von seiner Gruppe aus.
«Für uns, die wir jahrelang gegen Lockbit gekämpft hatten, war es ein Moment des Triumphs», sagt McArdle, der den Haftbefehl in den ersten Minuten nach dem Aufschalten gesehen hat. «Mit Choroschew konnten wir einen der erfolgreichsten Cyberkriminellen aller Zeiten enttarnen.»
Hackergruppen zu bekämpfen, ist für die Polizei äusserst schwierig. Ihre Spuren lassen sich nur schwer zurückverfolgen. Und nicht alle Länder kooperieren mit den Ermittlern. Das gilt insbesondere für Russland, wo sich viele Hintermänner der Ransomware-Banden aufhalten.
Der Erfolg der «Operation Cronos» beweist jedoch: Die Strafverfolgungsbehörden sind nicht machtlos – selbst wenn sich die Hacker in Russland verstecken. Mit psychologischen Mitteln konnten die Ermittler etwas zerstören, was auch für das kriminelle Geschäft unerlässlich ist: das gegenseitige Vertrauen.
Der Aufstieg und Fall der berüchtigtsten Hackergruppe der Welt ist ein Lehrstück dafür, dass der Kampf gegen Cyberkriminelle funktionieren kann. Anhand von Gesprächen mit Ermittlern und Interviews mit Cybersicherheitsexperten erzählen wir hier die Geschichte Lockbits nach.
Lockbit perfektioniert das System der Arbeitsteilung
Lockbit taucht 2020 in der Unterwelt der Cyberkriminellen auf. Im Januar beginnt die Gruppe in einem russischsprachigen Hackerforum für ihre Ransomware zu werben. Dabei streicht sie vor allem die technische Leistungsfähigkeit ihrer Schadsoftware heraus: Sie verschlüsselt die Server der Opfer schneller und benötigt weniger Rechenleistung.
Damals hat Lockbit vor allem ein Ziel: Wachstum. Die Kerngruppe um Dmitri Choroschew will Geschäftspartner gewinnen, sogenannte Affiliates. Die Affiliates führen selbständig Angriffe durch und setzen dabei die Verschlüsselungssoftware von Lockbit ein. Dafür bezahlen sie einen Anteil von 20 Prozent des erpressten Lösegelds an die Kerngruppe. «Ransomware als Service» heisst das Modell.
Das System hat einen entscheidenden Vorteil: Die Zahl der Angriffe lässt sich einfach und rasch erhöhen. Auch technisch weniger versierte Kriminelle können die eigentlichen Ransomware-Angriffe auf die Unternehmen durchführen. Die Kerngruppe um Dmitri Choroschew kümmert sich um die Weiterentwicklung der Schadsoftware. Es ist eine kriminelle Arbeitsteilung.
Das Modell führt Lockbit zum Erfolg. Auf dem amerikanischen Kontinent kommt es im Juli 2020 zu einer Welle von Angriffen gegen mittelgrosse Unternehmen. Auch in der Schweiz werden zu dieser Zeit die ersten Unternehmen Opfer von Lockbit. Grosse Fälle sind allerdings noch nicht darunter.
Lockbit wird zur erfolgreichsten Hackerbande
Der erste grosse Coup gelingt Lockbit ein Jahr später, im Sommer 2021. Die Hacker greifen die Beratungsfirma Accenture an, entwenden vertrauliche Daten und machen die IT-Systeme der Firma unbrauchbar, indem sie sie verschlüsseln. Lockbit verlangt Kryptowährungen im Wert von 50 Millionen Dollar, um die Systeme wieder zu entschlüsseln.
Doch Accenture kann die verschlüsselten Daten von einem Back-up selbst wiederherstellen und geht nicht auf die Erpressung ein. Daraufhin setzt Lockbit auf ein Vorgehen, das als «double extortion» bekannt ist, also doppelte Erpressung. Die Hacker drohen damit, die gestohlenen Daten zu publizieren. So erhöhen die Kriminellen den Druck auf ihre Opfer: Die öffentliche Blossstellung soll sie zum Bezahlen bewegen.
Accenture lehnt eine Bezahlung allerdings weiterhin ab. Daraufhin publiziert Lockbit die gestohlenen Daten, darunter interne Präsentationen und Arbeitspapiere. Der Fall macht Schlagzeilen. Accenture, ausgerechnet eine Firma, die ihren Kunden Dienstleistungen im Bereich der Cybersicherheit verkauft, erleidet einen Reputationsverlust.
Für die Erpresser beginnt der Höhenflug. Im Jahr 2022 ist Lockbit die am häufigsten eingesetzte Ransomware-Variante weltweit. In Kanada gehen 22 Prozent aller Angriffe von Lockbit aus. Alleine in den USA zählt das FBI rund 1700 Attacken seit 2020. Die Opfer sollen Lösegelder von ungefähr 91 Millionen Dollar bezahlt haben.
Absurde Beliebtheit: 1000 Dollar für ein Lockbit-Tattoo
Dass Lockbit so gross werden kann, hat mehrere Gründe. Zentral ist die technische Kraft der Schadsoftware: Die Kerngruppe um Dmitri Choroschew hat sie stetig verbessert. Nun verbirgt sie sich auf ausgeklügelte Weise in den IT-Systemen der Opfer, um nicht entdeckt zu werden. Sie sammelt Informationen über das Unternehmen und löscht nach dem Angriff ihre Spuren, um die Arbeit der Ermittler zu erschweren.
In einer verbesserten Version kommt ein Werkzeug hinzu, das es den Affiliates erlaubt, rasch grosse Datenmengen abzusaugen, ohne dass dies auffällt. IT-Kenntnisse brauchen die Kriminellen kaum noch. Dank einer einfachen Benutzeroberfläche reichen ein paar Mausklicks, um die Daten zu kopieren und danach zu verschlüsseln. Ransomware-Angriffe werden so kinderleicht.
Der vielleicht wichtigste Faktor für den Erfolg von Lockbit ist aber das Bezahlmodell. Normalerweise bezahlen die Opfer das Lösegeld an die Kerngruppe, welche dann die Affiliates auszahlt. Lockbit macht das anders: Die Affiliates erhalten ihren Anteil am Lösegeld direkt von den Opfern. Der Vorteil: Die Kerngruppe kann ihre Affiliates so nicht um ihre Beteiligung prellen. Das schafft Vertrauen und erhöht den Anreiz für die Affiliates, mit Lockbit zu arbeiten.
Neben dem guten Produkt arbeitet Lockbit auch an seinem Image. Der Chef der Bande lanciert 2022 eine grosse PR-Aktion: Alle, die sich das Lockbit-Logo als Tattoo in den Körper stechen lassen und Bilder davon auf den sozialen Netzwerken veröffentlichen, erhalten 1000 Dollar. Tatsächlich tauchen Fotos von Lockbit-Tattoos auf.
In total, about 20 people made LockBit’s tattoos. Accordingly, LockBit spent about $20,000. This value is inaccurate because some people may have privately contacted LockBit. I have uploaded all participants, wallets, and media to the GitHub repository: https://t.co/Q4T5IbZKFO pic.twitter.com/rEHqjuf8Dx
— 3xp0rt (@3xp0rtblog) September 12, 2022
Der Erfolg des Aufrufs zeigt die absurde Beliebtheit und den Respekt, den sich Lockbit aufgebaut hat. Die Gruppe ist 2022 nicht mehr nur eine Bande von Kriminellen. Lockbit ist eine Marke, geliebt von Insidern, verhasst bei Outsidern.
Polizeien weltweit ermitteln gegen Lockbit
Der Erfolg von Lockbit zieht die Aufmerksamkeit der Polizei auf sich. Bereits 2021 bildet Europol eine Arbeitsgruppe. Darin sind viele Länder vertreten, die zu Lockbit ermitteln. Dazu gehören Deutschland, die Niederlande und die Schweiz. Frankreich führt die Ermittlungen an. So beginnt die «Operation Cronos».
Bei Europol laufen nun die Spuren aus den verschiedenen Ländern zusammen. Das sind zum Beispiel die IP-Adressen der Server, von denen aus die Kriminellen auf die IT-Systeme der Opfer zugreifen. Das sind E-Mail-Adressen, welche die Hacker zum Anmieten dieser Server angegeben haben. Und es sind Adressen von Krypto-Wallets, welche Lockbit den Opfern für die Überweisung des Lösegelds angibt. Die Analysten bei Europol gleichen diese Informationen ab und leiten sie an die nationalen Polizeistellen weiter.
Wenn deutsche Ermittler zum Beispiel einem Angriff von einer IP-Adresse in den Niederlanden nachgehen, erfahren sie von Europol vielleicht, dass die niederländischen Kollegen diesen Server bereits überwachen und weitere Informationen liefern können. Die Kriminellen verwenden möglicherweise das gleiche Krypto-Wallet, um mehrere Server zu mieten. So deckt die Polizei nach und nach die Infrastruktur der Bande auf.
Eine der Stärken von Lockbit wird jedoch zum Nachteil. Weil die Schadsoftware so einfach zu bedienen ist, brauchen die Kriminellen kein fundiertes technisches Verständnis mehr. Und Anfänger hinterliessen eher Spuren, sagt ein Ermittler. Das kann der Polizei helfen.
Ein Angreifer muss zum Beispiel nur ein einziges Mal vergessen, den VPN-Dienst einzuschalten, der seine Internetverbindung anonymisiert. Und schon halten die Ermittler eine unverschleierte IP-Adresse in den Händen, die ihnen Hinweise auf den Aufenthaltsort eines Hackers gibt. Auch Kriminelle machen Fehler.
Neben der Polizei spüren auch IT-Sicherheits-Experten wie Robert McArdle oder John DiMaggio Lockbit nach. DiMaggio, Chefstratege beim IT-Sicherheits-Unternehmen Analyst 1, sorgt mit seinen Recherchen zum Kopf der Bande, damals erst bekannt unter seinem Pseudonym LockbitSupp, für Aufsehen.
DiMaggio hat mehrmals direkt mit LockbitSupp interagiert. Er beschreibt ihn als arroganten Verbrecher, der aber professionell und sachlich kommuniziere – ausser dass er immer wieder ein Cat-Meme, also ein Bild einer Katze, schicke. Dieses Detail sollte später noch entscheidend werden.
Der Anfang vom Ende: Die Polizei schlägt zu
Irgendwann Mitte oder Ende 2023 haben die internationalen Ermittler der «Operation Cronos» genügend Informationen gesammelt. Die beteiligten Länder einigen sich nach mehreren Verschiebungen darauf, im Februar zuzuschlagen. Das FBI aus den USA und die NCA aus Grossbritannien übernehmen die Führung.
Die Details zum sogenannten «Action Day» sind streng vertraulich. Die Angst sei gross, dass jemand die Kriminellen warne, sagt ein beteiligter Ermittler. Dann wäre die Aktion erfolglos geblieben.
Doch der Zugriff gelingt. Am 19. Februar 2024 schalten die Ermittler auf der Darknet-Site von Lockbit eine Meldung auf: «Diese Site ist unter der Kontrolle der Strafverfolgungsbehörden.» Es ist ein klares Signal an die Affiliates und die Öffentlichkeit. Und es ist der Anfang des Abstiegs der Verbrecherbande.
Möglicherweise sassen die Ermittler über einen längeren Zeitraum in den Systemen von Lockbit und spionierten die Hacker aus. Was der entscheidende Schritt war, dank dem die Ermittler in die Lockbit-Systeme eindringen konnten, verraten sie nicht. Ein beteiligter Ermittler sagt sogar, die Behörden hätten erst am «Action Day» Gewissheit erhalten, dass tatsächlich die zentralen Server von Lockbit identifiziert worden seien.
Den Ermittlern gelingt es, drei Affiliates zu verhaften. In der Ukraine werden ein Vater und sein Sohn festgenommen, in Polen ein 38-jähriger Mann. Die polnische Polizei veröffentlicht ein Video der Festnahme mit dramatischer Musik. Darin sieht man Polizisten, die einen Mann in Jeans und blauer Jacke abführen, seine Handys, sein Laptop werden versiegelt.
Zudem kann die Polizei zwei russische Hacker identifizieren und publiziert ihre Namen: Iwan Kondratiew, der in der Hackerszene bekannt ist unter seinen Pseudonymen Bassterlord und Fisheye und zwei Lehrbücher über Ransomware-Attacken geschrieben hat, und Artur Sungatow. Weil Russland anders als die Ukraine und Polen nicht mit den westlichen Ermittlern kooperiert, leben diese beiden Hacker noch auf freiem Fuss. Sie sind allerdings in den USA zur Verhaftung ausgeschrieben und stehen auf der Sanktionsliste.
Psychokrieg gegen unerreichbare Kriminelle
Nach der Polizeiaktion im Februar ist es zunächst schwierig abzuschätzen, wie gross der Ermittlungserfolg der Behörden tatsächlich ist. Lockbit zählt damals 190 Affiliates, hinter denen teilweise auch mehrere Personen stehen dürften. Für die Öffentlichkeit mögen drei Festnahmen und drei öffentliche Identifikationen als wenig erscheinen.
Doch die Polizei setzt eine Strategie ein, die das Netzwerk der Gruppe zerschlägt: Sie verwendet Methoden zur psychologischen Verunsicherung der Kriminellen.
Das zeigt sich im Festnahme-Video aus Polen: In einer Szene kommen auch Plüschtiere und Malstifte vor, die offenbar in der Wohnung des Täters am Boden liegen. Solche Szenen sollen andere Hacker abschrecken. Die Aussage, die die Ermittler damit an die Kriminellen senden, lautet: Schaut, wir haben ihn, auch ihr seid nirgends sicher, nicht einmal bei euch daheim.
Hallo! Wir haben deine Bitcoins
Um jene Kriminellen von Lockbit abzubringen, die sie weder festnehmen noch identifizieren kann, kreiert die Polizei ein Drehbuch für den Rest der «Operation Cronos». Damit soll das Vertrauen zwischen den Kriminellen und der Zentralorganisation von Lockbit untergraben werden.
Der wohl effektivste Schachzug dazu sind persönliche Ansprachen. Die Polizei schickt den Affiliates persönliche Nachrichten über das interne Lockbit-System. Bei ihrem ersten Log-in nach der Polizeiaktion erhalten die Kriminellen die Botschaft, dass die Ermittler nun ihre Nutzernamen, die Adressen ihrer Krypto-Wallets, ihre IP-Adressen und die Transkripte von den Chats mit Opfern und mit LockbitSupp besitzen. Von da, dürfte sich der eine oder andere Affiliate gedacht haben, ist der Weg zur öffentlichen Identifikation nicht mehr weit.
Weitere Nadelstiche folgen: Am Tag nach der Übernahme der Leak-Site im Darknet leitet die Polizei Besucher der URL auf eine andere Site um. Dort publiziert sie Haftbefehle und Ankündigungen von Sanktionen gegen die Hacker.
Aus psychologischer Sicht sind dabei zwei Dinge interessant: Erstens übernehmen die Ermittler für die neue Site das Branding und den Aufbau der originalen Lockbit-Leak-Site: Gleiche Farbe, gleiche Schriftart, auch das Lockbit-Logo in der linken oberen Ecke ist noch da. Aber auf der Polizei-Site werden nicht wie üblich die gehackten Unternehmen als «Opfer» aufgelistet, sondern die Kriminellen selbst.
Und zweitens sieht die Polizei davon ab, alle Ermittlungsresultate auf einen Schlag zu kommunizieren. Laut einem Protokoll von Analyst 1 publizieren die Behörden über fünf Tage immer wieder Haftbefehle und Sanktionsankündigungen. Robert McArdle, der Cybercrime-Experte von Trend Micro, sagt dazu: «Diese Strategie ist clever, denn so werden die Affiliates jeden Tag ein bisschen mehr eingeschüchtert.»
Kurz bevor die Polizei ihre modifizierte Lockbit-Leak-Site offline nimmt, holt sie zum letzten grossen Schlag aus – gegen den Anführer der Bande. Sie publiziert die Meldung, den Namen hinter LockbitSupp zu kennen. Dazu veröffentlicht sie ein Cat-Meme, bedient sich also auch der Bildsprache des Kriminellen. McArdle interpretiert das so: «Die Polizei hat den Lockbit-Affiliates damit gezeigt, dass sie tatsächlich Zugang zur Kerninfrastruktur von Lockbit hat. Wie sonst wüsste sie um die Liebe von LockbitSupp für Cat-Memes?»
Dmitri Choroschew schlägt zurück
Doch Dmitri Choroschew, immerhin einer der erfolgreichsten Cyberkriminellen aller Zeiten, geht zum Gegenangriff über. Weniger als eine Woche nach der erfolgreichen Polizeiaktion schaltet er eine neue Lockbit-Leak-Site im Darknet auf. Sie sieht genauso aus wie die alte Site, hat allerdings weniger Opfer aufgeführt. Doch die Opferliste hat einen prominenten Eintrag: das FBI.
Natürlich wurde das FBI nicht wirklich gehackt. LockbitSupp nutzt den FBI-Eintrag aber für eine Erklärung des Take-downs aus seiner Sicht: Unter anderem gibt er zu, dass die Polizei «wegen seiner persönlichen Fahrlässigkeit und Unverantwortlichkeit» Zugriff auf seine IT-Infrastruktur erlangt hat. Er schreibt: «Weil ich seit fünf Jahren in Geld schwimme, wurde ich sehr faul und fuhr weiter auf meiner Jacht mit busigen Mädchen.» Deswegen habe er ein Update nicht installiert, das es gebraucht hätte, um die Ermittler abzuwehren.
Damit gesteht Choroschew zwar eigene Fehler ein, versucht aber sogleich, das Vertrauen seiner Affiliates zurückzugewinnen. Der Hack betreffe nicht nur ihn, schreibt er. Anderen Hackergruppen und -foren sei das Gleiche passiert, sie hätten es nur nicht bemerkt. Als Gegenschlag stellt Choroschew in Aussicht, amerikanische Regierungsstellen anzugreifen.
Choroschew publiziert in den zwei Wochen danach auf seiner neuen Leak-Site mehrere Posts über Unternehmen, die angeblich Opfer von neuen Hackerattacken gewesen seien. Für einen Moment sieht es damit für Aussenseiter so aus, als wäre Lockbit wieder zurück. Allerdings stellt sich bald heraus, dass die meisten der angeblichen Angriffe vor dem Take-down der Ermittler stattgefunden haben und Lockbit nur alte Daten veröffentlicht. Bei anderen Opfern blufft Choroschew – in Wirklichkeit hat er ihre Daten gar nicht erbeutet.
Dass er so unverhohlen lügt, hat nur ein Ziel: Choroschew will sein Image retten. «Er hängte den Starken heraus, in der Hoffnung, seine Geschäftspartner und sein Image als krimineller Überflieger nicht zu verlieren», sagt McArdle. Doch der Plan geht schief. Die Behörden gewinnen in den folgenden Monaten immer tiefere Einsichten in das Lockbit-Netzwerk.
Das Finale: die Enttarnung des Lockbit-Chefs
Der letzte Schritt der Polizeiaktion geschieht Anfang Mai. Die Behörden schalten die originale Lockbit-Leak-Site wieder auf und verbreiten dort die Ankündigung, dass sie die Identität von LockbitSupp offenlegen würden. «Coming soon», am 7. Mai 2024.
Auch diese Ankündigung diene dem Zweck, die Kriminellen zu verunsichern, schreibt Jon DiMaggio in einem Post. «LockbitSupp hatte das FBI jahrelang verspottet und behauptet, es sei zu dumm, um ihn zu fassen. Es scheint, als wäre es schlauer, als er dachte.»
Am 7. Mai 2024 publiziert die amerikanische Regierung den Haftbefehl gegen Dmitri Choroschew. Sie verspricht ein Kopfgeld von bis zu 10 Millionen Dollar für jede Person, die hilft, den Mann festzunehmen.
Kurz danach veröffentlicht John DiMaggio von Analyst 1 weitere Informationen zu Choroschew. Er sei 1993 geboren worden und lebe in der Region Woronesch in Russland, unweit der ukrainischen Grenze. Weiter besitze er mehrere Geschäfte, die auf den ersten Blick legitim wirkten, unter anderem einen Textilienladen. DiMaggio glaubt auch, die E-Mail-Adressen, Telefonnummern und die Wohnadresse des Hackers ermittelt zu haben. Diese Informationen publiziert er ebenfalls.
Dieser Dox, wie man das Veröffentlichen von persönlichen Informationen nennt, gemeinsam mit den anderen psychologischen Komponenten der «Operation Cronos» führt dazu, dass sich viele Affiliates von Lockbit abwenden. Zu gross ist ihre Angst, dass die Polizei noch immer im Lockbit-Netzwerk sitzt und auch sie identifiziert.
Denn eines ist klar: Öffentlich identifiziert zu werden, ist für russische Hacker unangenehm. Choroschew aka LockbitSupp, Kondratiew aka Bassterlord und Sungatow werden keine Flitterwochen in Paris machen, keine Städtereisen nach Dubai. Sie werden auch nie New York mit eigenen Augen sehen. Sie müssen davon ausgehen, dass sie sofort festgenommen werden, falls sie je auf einem westlichen Flughafen auftauchen.
Nun können sie zwar auch ein schönes Leben auf dem russischen Territorium führen. Aber auch in Russland lebt es sich besser, wenn der Nachbar nicht weiss, wie kriminell und schädlich die eigene Einkommensquelle ist. Gerade Lockbit-Hacker, bei denen ein hohes Vermögen anzunehmen ist, müssen sich nun darüber Gedanken machen, dass sie Opfer von anderen Straftaten werden könnten. Zum Beispiel könnten ihre Kinder entführt werden. Ausserdem müssen sie davon ausgehen, dass westliche Geheimdienste oder andere Hacker hinter ihnen her sind.
Mit diesen öffentlichen Identifikationen können westliche Strafverfolger das Leben von russischen Hackern also mindestens ein Stück weit einschränken. Und dies, obwohl Russland seine Hacker schützt, indem das Land internationale Rechtshilfegesuche ignoriert.
Fazit: Cyberkriminalität lässt sich bekämpfen
Heute, ein Jahr nach der Polizeiaktion, ist Lockbit wieder aktiv. Doch die grosse Organisation mit Dutzenden von Affiliates besteht nicht mehr.
«Lockbit ist nur noch ein Schatten seiner selbst», sagt McArdle. «Die Gruppe hat heute weder die Kraft noch die Dominanz von früher.» Ein Ermittler, der an der «Operation Cronos» beteiligt war, gibt sich überzeugt, dass die Bande nie mehr zu ihrer alten Grösse zurückfinden werde.
Die «Operation Cronos» zeigt, dass die Strafverfolgungsbehörden erfolgreich gegen Cyberkriminelle vorgehen können. Sie haben die berüchtigtste Ransomware-Bande zerschlagen und damit zahlreiche Cyberangriffe verhindert.
Den Ermittler ist es vermutlich gelungen, mehrere Mitglieder der Gruppe zu identifizieren. Zwar konnten sie bislang nur einen kleinen Teil der Kriminellen verhaften. Doch das Signal ist klar: Wer bei Lockbit aktiv war, muss nun mit einer Verhaftung rechnen, zumindest wenn er in ein westliches Land reist. Lockbit-Affiliates werden nicht mehr ruhig nach Italien, Thailand oder in die Türkei reisen können. Der Mythos des unantastbaren russischen Hackers ist zerstört.
«Operation Cronos» ist aber auch eine Botschaft an die Politik: Wenn die Polizei genug Ressourcen erhält, um Cyberkriminalität zu bekämpfen, kann sie erfolgreich sein. Noch ist das nicht so. Verbrechen im Internet werden oft weniger hartnäckig verfolgt, als das bei Erpressung oder Betrug sonst üblich ist. Die Geschichte von Lockbit zeigt: Es könnte sich lohnen, dies zu ändern.
Mitarbeit: Simon Huwiler, Forrest Rogers
