In einer bahnbrechenden Entwicklung haben die Strafverfolgungsbehörden der USA und des Vereinigten Königreichs endlich den Anführer einer der berüchtigtsten Ransomware-Gruppen der Geschichte identifiziert und angeklagt. Am Dienstag gab eine Koalition von Strafverfolgungsbehörden unter der Leitung der britischen National Crime Agency bekannt, dass der russische Staatsbürger Dmitry Yuryevich Khoroshev, 31 Jahre alt, die Person hinter dem Decknamen LockBitSupp ist, dem Administrator und Entwickler der LockBit-Ransomware. Das US-Justizministerium gab ebenfalls die Anklageerhebung gegen Khoroshev bekannt und beschuldigt ihn des Computerbetrugs und der Erpressung. "Wir gehen heute noch einen Schritt weiter und klagen die Person an, die wir behaupten, dieses bösartige Cyberschema entwickelt und verwaltet zu haben, das über 2.000 Opfer ins Visier genommen und mehr als 100 Millionen Dollar an Lösegeldzahlungen gestohlen hat", wurde Generalstaatsanwalt Merrick B.
Garland in der Ankündigung zitiert. Laut dem Justizministerium stammt Khoroshev aus Voronesh, einer Stadt in Russland etwa 300 Meilen südlich von Moskau. "Dmitry Khoroshev hat LockBit konzipiert, entwickelt und verwaltet, die weltweit produktivste Ransomware-Variante und -Gruppe, die es ihm und seinen Partnern ermöglicht hat, Chaos anzurichten und Milliarden von Dollar Schäden bei Tausenden von Opfern weltweit zu verursachen", sagte der US-Bundesanwalt Philip R. Sellinger für den Bezirk von New Jersey, in dem Khoroshev angeklagt wurde. Die Strafverfolgungsbehörden verkündeten die Identität von LockBitSupp in Pressemitteilungen sowie auf LockBits Original-Dark-Web-Seite, die die Behörden in diesem Jahr beschlagnahmt hatten.
Auf der Seite kündigte das US-Außenministerium eine Belohnung von 10 Millionen Dollar für Informationen an, die den Behörden helfen könnten, Khoroshev zu verhaften und zu überführen. Die US-Regierung kündigte auch Sanktionen gegen Khoroshev an, die es effektiv verbieten, mit ihm Geschäfte zu machen, wie etwa Opfer, die Lösegeldzahlungen leisten. Die Bestrafung der Personen hinter Ransomware erschwert es diesen, von Cyberangriffen zu profitieren. Die Verletzung von Sanktionen, einschließlich der Zahlung an einen sanktionierten Hacker, kann zu hohen Geldstrafen und strafrechtlichen Verfolgungen führen. LockBit ist seit 2020 aktiv, und laut der US-amerikanischen Cybersicherheitsagentur CISA war die Ransomware-Variante der Gruppe im Jahr 2022 "die am häufigsten eingesetzte".
Europol, das an der gemeinsamen Operation der Strafverfolgungsbehörden teilnahm, erklärte in einer Stellungnahme, dass die Behörden nun über 2.500 Entschlüsselungsschlüssel verfügen, die Opfern helfen können, Daten zu entschlüsseln, die zuvor von der Gruppe verschlüsselt wurden. Die NCA veröffentlichte auf der beschlagnahmten LockBit-Website eine Infografik mit Statistiken zu den Aktivitäten von LockBit. Laut den Daten zielte die Gruppe auf mehr als 100 Krankenhäuser, Gesundheitsunternehmen und Einrichtungen ab, darunter ein Kinderkrankenhaus. In diesem Fall erklärte LockBit, dass der Angriff ein Fehler gewesen sei und sie den "Partner", der für den Angriff verantwortlich sei, blockieren und die Entschlüsselungsschlüssel zur Entsperrung der Dateien bereitstellen würden.
Laut der NCA war dies jedoch eine Lüge, da der Partner aktiv blieb und die Entschlüsselungsschlüssel "nicht richtig funktionierten". Die NCA lud Khoroshev ein, sich zu melden, wenn er ihre Ergebnisse bestreitet. "Sie sind herzlich eingeladen, dies persönlich zu tun?", sagte die NCA. Am Sonntag hat die Strafverfolgungsbehördenkoalition die beschlagnahmte Dark-Web-Site von LockBit wiederhergestellt, um eine Liste von Beiträgen zu veröffentlichen, die die neuesten Enthüllungen ansprechen sollten. Im Februar kündigten die Behörden an, dass sie die Website von LockBit übernommen und die Beiträge der Hacker durch ihre eigenen Beiträge ersetzt haben, was eine Pressemitteilung und andere Informationen im Zusammenhang mit dem, was die Koalition "Operation Cronos" nannte, einschloss.
Kurz darauf schien LockBit mit einer neuen Website und einer Liste angeblicher Opfer zurückzukehren, die laut einem Sicherheitsforscher, der die Gruppe verfolgt, aktualisiert wurde. Wochenlang war der Anführer von LockBit, bekannt als LockBitSupp, öffentlich und laut in dem Versuch, die Durchführung der Strafverfolgungsoperation zu leugnen und zu zeigen, dass LockBit weiterhin aktiv ist und Opfer ins Visier nimmt. Im März gab LockBitSupp ein Interview an das Nachrichtenportal The Record, in dem sie behaupteten, dass Operation Cronos und die Maßnahmen der Strafverfolgungsbehörden das "Geschäft in keiner Weise beeinträchtigen". "Ich betrachte dies als zusätzliche Werbung und als Möglichkeit, allen die Stärke meines Charakters zu zeigen. Ich kann nicht eingeschüchtert werden.
Was dich nicht umbringt, macht dich stärker", sagte LockBitSupp gegenüber The Record.
