Mit der Software der Hackergruppe Lockbit wurden über 2000 Organisationen im Westen angegriffen. Nun sind zwei mutmassliche Mitglieder der Gruppe festgenommen worden. Offenbar betrieben die Kriminellen auch Server in der Schweiz und in Deutschland.
Ein internationales Team aus Ermittlungsbehörden hat nach eigenen Angaben die Hackergruppe Lockbit zerschlagen. Dies hat am Dienstagmorgen zuerst die britische Strafverfolgungsbehörde National Crime Agency (NCA) berichtet.
Lockbit wird vorgeworfen, Tausende Unternehmen und Organisationen mit Schadsoftware erpresst zu haben, ihre Daten gestohlen, verschlüsselt und, falls kein Lösegeld bezahlt wurde, veröffentlicht und die Daten verkauft zu haben.
Gemäss Europol-Mitteilung sind nun zwei mutmassliche Mitglieder der Gruppe verhaftet worden, einer in Polen und einer in der Ukraine.
Weiter seien über 200 Geldbörsen in Kryptowährungen eingefroren und 14 000 «Schurkenprofile» gesperrt worden. Die Profile, von denen nicht bekanntwurde, auf welchen Plattformen sie gehostet sind, seien von Lockbit-Mitgliedern mutmasslich dazu verwendet worden, gestohlene Daten von erpressten Organisationen zu speichern und Angriffe vorzubereiten und durchzuführen, schreibt das IT-Portal Bleeping Computer.
Aus der Europol-Mitteilung geht weiter hervor, dass Lockbit auch Infrastruktur hierzulande betrieb. So sind 34 Server mit Verbindungen zur Gruppe ausgeschaltet worden, darunter Systeme in Deutschland, der Schweiz, den Niederlanden, Finnland, Australien und in den USA.
Weiter haben die Ermittler drei internationale Haftbefehle und fünf Anklagen gegen mutmassliche Lockbit-Mitglieder veröffentlicht. Zwei der Angeklagten sind bekannt: Es handelt sich um die Russen Artur Sungatow und Iwan Kondratjew, besser bekannt unter seinem Alias «Bassterlord».
«Operation Cronos» publiziert den Strafbefehl auf der Website von Lockbit
Für den Coup haben Strafverfolgungsbehörden aus zehn westlichen Ländern zusammengearbeitet: aus Deutschland, der Schweiz, Frankreich, Grossbritannien, den Niederlanden, Schweden, den USA, Kanada, Australien und Japan. Aufseiten der Schweiz waren das Fedpol und die Kantonspolizei Zürich an den Ermittlungen beteiligt.
Das Ermittlungsteam namens «Operation Cronos» hat auch die Seite von Lockbit im Darknet unter seine Kontrolle gebracht. Reuters verbreitete am Dienstagmorgen einen Screenshot der beschlagnahmten Darknet-Seite mit dem Slogan: «Die Seite ist jetzt unter der Kontrolle der Polizei.»
Laut Recherchen der NZZ schalteten die Ermittler am Nachmittag verschiedene Meldungen auf der Darknet-Seite auf, unter anderem einen Strafbefehl für weitere Lockbit-Mitglieder und die Empfehlung für Opfer von Cybererpressungen, sich bei der Polizei zu melden.
«Wir haben die Hacker gehackt», sagte Graeme Biggar, Direktor der britischen NCA, in einer Medieninformation.
Behörden scheinen nicht die komplette Kontrolle zu haben
Wie komplett die Kontrolle der Behörden über Lockbit aber tatsächlich ist, ist noch unklar. Der Sicherheitsforscher Kevin Beaumont schrieb am Dienstagmorgen in einem Beitrag auf Mastodon, dass drei Lockbit-Dienste noch immer online seien. Einer der Dienste biete noch immer gestohlene Daten zum Verkauf an. Die NZZ konnte dies in einer eigenen Recherche im Darknet bestätigen.
Weiter berichtete der britische TV-Sender Sky News, ein Lockbit-Vertreter habe über eine verschlüsselte Messaging-App mitgeteilt, die Gruppe habe Backup-Server, die von der Strafverfolgung nicht betroffen seien. Die Behauptung konnte nicht verifiziert werden.
Daten können jetzt entschlüsselt werden
Lockbit gehört zu den bedeutendsten Hackergruppen der Welt. Seine Software wurde laut der amerikanischen Justizbehörde für mehr als 2000 Angriffe verwendet, wobei 120 Millionen Dollar erpresst wurden.
2022 war Lockbit die am häufigsten eingesetzte Ransomware. Zu seinen prominentesten Opfern gehörten der britische Postdienst Royal Mail und das französische Justizministerium.
Für die Opfer der Schadsoftware besteht nun Hoffnung. So haben die Behörden laut Europol ein Tool erstellt, mit dem Opfer ihre Daten entschlüsseln können. Dieses ist über die Website «No More Ransom» erreichbar.
Laut britischen Behörden ist Lockbit 2019 in russischsprachigen Foren aufgetaucht, weshalb einige Analysten annehmen, dass die Gruppe aus Russland stamme. Auf ihrer Website im Darknet hatte sie ihren Sitz mit den Niederlanden angegeben und betont, sie sei unpolitisch und interessiere sich nur für Geld. Allerdings wurde Mitte 2023 bereits ein Mitglied der Bande verhaftet, ein 20-jähriger Russe.
Lockbit schuf ein regelrechtes Ökosystem um seine Schadsoftware: Die Gruppe verkaufte das Programm an sogenannte Affiliates, also Partner, die damit die eigentlichen Angriffe auf Unternehmen und Behörden durchführten. Bei erfolgreichen Angriffen bezahlten die Affiliates einen Anteil des Lösegeldes an Lockbit, laut einer Anklageschrift aus den USA 20 Prozent. Die Rede ist daher von Ransomware-as-a-Service, also Erpressungssoftware als Dienstleistung.
Denkbar wäre nun, dass Lockbit versucht, sein kriminelles Unternehmen wieder aufzubauen. Das ist auch den Behörden bewusst. «Unsere Arbeit endet hier nicht», sagte der NCA-Chef Biggar. Jetzt wisse man aber, wer die Akteure seien und wie sie funktionierten.
Update vom 20. Februar, 23 Uhr: Eine frühere Version dieses Artikels erwähnte einen Post auf X über ein Schreiben, in dem sich Lockbit angeblich an seine Geschäftspartner wendet. Der Absender des Posts hat dieses Schreiben als Fälschung enttarnt.