Die berüchtigte LockBit Ransomware-Bande, die seit vier Jahren ihr Unwesen treibt und dabei in tausende Unternehmen, Schulen, medizinische Einrichtungen und Regierungen auf der ganzen Welt eindringt und dabei Millionen verdient hat, ist endlich gestoppt worden. Eine umfangreiche polizeiliche Operation, angeführt von der britischen National Crime Agency (NCA) und mit Ermittlern aus 10 Ländern weltweit, ist in die Strukturen der Ransomware-Gruppe eingedrungen und hat ihre Systeme offline genommen. Die Bande, die als LockBit bekannt ist, hat sich einen Namen gemacht, indem sie zahlreiche namhafte Opfer wie ein Kinderkrankenhaus, Boeing, die Royal Mail in Großbritannien und die Sandwichkette Subway ins Visier genommen hat. Doch nun wurde ihrer Hacker-Kampagne ein jähes Ende gesetzt. Bei einer Pressekonferenz in London verkündete der Direktor der NCA, Graeme Biggar, dass die Gruppe "grundlegend gestört" worden sei.
Die Operation Cronos habe die Infrastruktur von LockBit übernommen, ihre dunklen Web-Leak-Site beschlagnahmt, Zugriff auf den Quellcode erhalten, etwa 11.000 Domains und Server beschlagnahmt und Details über die Mitglieder der Gruppe erhalten. "Ab heute ist LockBit effektiv überflüssig", verkündete Biggar stolz. Diese Maßnahme ist eine der größten und potenziell bedeutsamsten, die jemals gegen eine Cybercrime-Gruppe ergriffen wurde. Laut Biggar gilt LockBit, das international agiert, als die "proliferischste und schädlichste" Ransomware-Gruppe der letzten Jahre.
Sie war für 25 Prozent der Angriffe im vergangenen Jahr verantwortlich und hat Schäden in Milliardenhöhe verursacht. Zusätzlich zur Beschlagnahmung der technischen Infrastruktur umfasst die polizeiliche Operation um LockBit auch Festnahmen in Polen, der Ukraine und den Vereinigten Staaten sowie Sanktionen gegen zwei mutmaßliche Gruppenmitglieder, die in Russland ansässig sind. Die Handlung gegen LockBit wurde erstmals bekannt, als ihre Ransomware-Website am 19. Februar offline ging und durch eine Halteseite ersetzt wurde, auf der stand, dass sie von der Polizei beschlagnahmt worden sei. Die Bande, die zunächst als "ABCD" auftrat, bevor sie ihren Namen änderte, tauchte Ende 2019 erstmals auf.
Seitdem hat LockBit Unternehmen angegriffen und ihren Namen innerhalb des Cybercrime-Ökosystems schnell bekannt gemacht. LockBit verfügt über eine lange Liste von Opfern, darunter verschiedene US-Regierungsorganisationen, Häfen und Automobilunternehmen. Die Vorgehensweise von LockBit entspricht einem Ransomware-as-a-Service-Betrieb, bei dem eine Kerngruppe von Mitgliedern die Malware erstellt und die Website und die Infrastruktur betreibt. Diese Kerngruppe lizenziert ihren Code an "Affiliates", die Angriffe gegen Unternehmen starten, Daten stehlen und versuchen, Geld von ihnen zu erpressen. "LockBit ist der letzte der 'offenen Affiliate'-Ransomware-as-a-Service-Angebote, was bedeutet, dass jeder, der bereit ist, das Geld aufzubringen, sich mit wenig oder keiner Überprüfung ihrem Programm anschließen kann", erklärt ein Analyst, der sich auf Ransomware spezialisiert hat.
Die Handlungen der Polizei werden wahrscheinlich die "bedeutendste Ransomware-Störung" gegen eine Ransomware-Gruppe darstellen, die es bisher gegeben hat. Die Gruppe hatte eine "kakerlakenartige Widerstandsfähigkeit" seit ihrer Gründung gezeigt, und die polizeiliche Aktion dürfte "Schockwellen" durch das überwiegend russische Ransomware-Ökosystem senden. Trotz der vorläufigen Erfolge bei der Störung von LockBit bleibt die Bedrohung durch Ransomware für Unternehmen weiterhin bestehen. Die Behörden haben eine große Menge an Informationen über den Betrieb von LockBit und seine Mitglieder erhalten. Zudem wurden mehr als 200 Kryptowährungs-Wallets der Gruppe beschlagnahmt.
Unternehmen und Organisationen, die Lösegeld an LockBit gezahlt haben, erhalten auch Entschlüsselungsschlüssel für ihre Daten. Die Schließung von LockBit sendet zweifellos eine Botschaft an die Affiliates der Gruppe und signalisiert, dass ihr Ruf getrübt ist. Es bleibt jedoch abzuwarten, ob die Gruppe unter dem gleichen Namen neu auftauchen wird oder ob sich ihre Mitglieder neu organisieren werden. Die Welt des Cybercrime dürfte weiterhin beobachten, wie sich die Situation entwickeln wird und ob ähnliche Operationen gegen andere Ransomware-Gruppen geplant sind. Das Ende von LockBit markiert einen bedeutenden Meilenstein im Kampf gegen Ransomware-Gruppen, doch die Bedrohung durch Cyberkriminalität bleibt bestehen.
Die Hoffnung liegt nun darauf, dass weitere Schritte unternommen werden, um diesem zunehmenden Problem Einhalt zu gebieten und die Unternehmen und Organisationen vor solchen Angriffen zu schützen.
