In einer koordinierten Aktion haben das FBI und seine internationalen Verbündeten erfolgreich die Dark-Web-Site der weltweit aktivsten Ransomware-Bande übernommen. Diese spektakuläre Eroberung markiert einen bedeutenden Schlag gegen die kurzfristigen Operationen der multinationalen Ransomware-Gruppe LockBit, die für ihre Bedrohungen von Organisationen weltweit, einschließlich Gesundheitseinrichtungen in den USA, bekannt ist. Die Hacker haben sich unter anderem für einen Ransomware-Angriff im November verantwortlich gemacht, der dazu führte, dass die in New Jersey ansässige Capital Health einige Patiententermine absagen musste. Ähnlich wie es bei der Industrial and Commercial Bank of China und Fulton County in Georgia der Fall war, wurden auch diesen und weiteren Opfern von LockBit Lösegeldzahlungen abgepresst. Die aktuellen Entwicklungen deuten darauf hin, dass die Dienste von LockBit aufgrund von internationalen Ermittlungsmaßnahmen gestört worden sind, und dies stellt ein anhaltendes und sich entwickelndes Vorgehen dar.
Zusätzliche Informationen zum Vorgehen gegen LockBit wurden am Dienstag von US- und UK-Behörden bekannt gegeben. Die National Crime Agency (NCA) und das FBI haben Software entwickelt, die "hunderten" Opfern weltweit ermöglichen soll, von den Hackern verschlüsselte Computer zu entschlüsseln. Zwei LockBit-Betreiber wurden aufgrund eines Antrags der französischen Behörden in Polen und der Ukraine festgenommen, wie Europol, die europäische Strafverfolgungsbehörde, ohne die Namen der beiden Personen zu nennen. In getrennten Erklärungen gab das US-Justizministerium die Anklageerhebung gegen zwei russische Männer, Ivan Gennadievich Kondratiev und Artur Sungatov, bekannt, die LockBit-Ransomware gegen Organisationen in den USA eingesetzt haben, darunter nicht näher genannte Fertigungsunternehmen. Das Finanzministerium kündigte auch Sanktionen gegen Kondratiev und Sungatov an.
Es ist jedoch unklar, ob sie jemals vor einem US-Gericht erscheinen werden. Kondratiev befindet sich nach Angaben des Finanzministeriums in Russland. Der Aufenthaltsort von Sungatov wurde nicht bekannt gegeben. Die USA und Russland haben kein Auslieferungsabkommen, und die bilaterale Zusammenarbeit im Bereich Cyberkriminalität ist aufgrund der Spannungen über Russlands Krieg in der Ukraine noch geringer als üblich. Die Säuberung der Dark-Web-Site einer Ransomware-Gruppe zwingt Cyberkriminelle dazu, eine neue Computerinfrastruktur aufzubauen, um Opfer zu erpressen.
Dies kann auch einen tieferen Zugang der Strafverfolgungsbehörden zu den Netzwerken der Hacker signalisieren. In einer vor einem Jahr bekannt gegebenen Operation gegen eine Ransomware-Bande gab das FBI bekannt, Zugriff auf Entschlüsselungssoftware zu haben, die Opfern rund 130 Millionen Dollar an Lösegeldzahlungen ersparte. Analsysten glauben, dass LockBit Mitglieder oder kriminelle Partner in Osteuropa, Russland und China hat. Wie andere finanzstarke Ransomware-Gruppen vermietet LockBit seine Ransomware an „Affiliates“, die den schädlichen Code bei Angriffen verwenden und dann einen Teil des von den Opfern gezahlten Lösegelds erhalten. LockBits Ransomware war im letzten Jahr weit verbreitet und übertraf andere Varianten von Ransomware deutlich, wie aus Informationen hervorgeht, die die Hacker online veröffentlicht haben.
Laut Don Smith, dem Vizepräsidenten für Bedrohungsrecherchen des Cybersicherheitsunternehmens Secureworks, entfielen auf LockBit ein Viertel des Ransomware-Marktes basierend auf den Informationen über die Opfer. Regierungs- und Privatermittler auf der ganzen Welt werden LockBits nächste Schritte genau beobachten. Gut ausgestattete Ransomware-Gruppen bauen oft nach Polizeistörungen ihre Computerinfrastruktur wieder auf und benennen ihre Hackertools um, um den Rufschaden in der kriminellen Unterwelt zu begrenzen. Diese Operation ist der neueste Schritt in einem mehrjährigen Kampf zwischen dem FBI und seinen Verbündeten auf der ganzen Welt und den Ransomware-Banden, die oft in Osteuropa und Russland ansässig sind. Trotz bemerkenswerter Festnahmen und der Beschlagnahme von Millionen Dollar Lösegeldzahlungen blüht die Ransomware-Wirtschaft weiter.
Cyberkriminelle erpressten im vergangenen Jahr trotz Bemühungen der US-Regierung, ihre Geldflüsse zu unterbinden, ein Rekordlösegeld von 1,1 Milliarden Dollar von Opferorganisationen auf der ganzen Welt, schätzte das Krypto-Tracking-Unternehmen Chainalysis. "Es ist äußerst unwahrscheinlich, dass Kernmitglieder der LockBit-Gruppe im Rahmen dieser Operation festgenommen werden, da sie in Russland ansässig sind", sagte Allan Liska, ein Experte für Ransomware des Cybersicherheitsunternehmens Recorded Future, zu CNN. Dennoch, so fügte er hinzu, bedeutet die Beschlagnahme der Website von LockBit durch die Strafverfolgung "einen bedeutenden, wenn auch kurzzeitigen, Einfluss auf das Ransomware-Ökosystem und eine Verlangsamung der Angriffe". "LockBit hat sich auch einen Ruf als einer der skrupellosesten Ransomware-Betreiber erworben, der Affiliates dazu ermutigt, Krankenhäuser und Schulen ins Visier zu nehmen", fügte er hinzu. "Meine Hoffnung ist, dass diese Sektoren etwas mehr Zeit erhalten, um ihre Verteidigungen aufzubauen.
".
