Der angebliche Mastermind hinter der LockBit-Ransomware wurde identifiziert Behörden in den USA, Großbritannien und Australien haben heute gemeinsam den russischen Staatsangehörigen Dmitry Yuryevich Khoroshev als mutmaßlichen Betreiber des LockBitSupp-Handles und den organisatorischen Kopf hinter der berüchtigten LockBit-Ransomware-Gruppe benannt. Diese Gruppe soll im Laufe mehrerer Jahre im Rahmen einer Hacker-Rampage Schätzungen zufolge 500 Millionen US-Dollar von ihren Opfern abgezweigt haben. Der Anführer von LockBit blieb jahrelang ein Geheimnis. Sorgfältig versteckte er sich hinter seinem Online-Pseudonym LockBitSupp, entzog sich der Identifikation und prahlte damit, dass niemand seine wahre Identität enthüllen könnte—selbst eine Belohnung von 10 Millionen US-Dollar für seinen wahren Namen blieb unbeantwortet. Die Behörden identifizieren Khoroshev als LockBitSupp, nachdem die Polizei in Großbritannien die Systeme der LockBit-Gruppe infiltriert und mehrere Festnahmen gemacht, ihre Server offline genommen, die internen Kommunikationen der Gruppe gesammelt und ihrer Hacker-Raubzüge ein Ende gesetzt hatte.
Die behördliche Aktion, die unter dem Namen Operation Cronos bekannt ist und von der National Crime Agency des Vereinigten Königreichs geleitet wird, hat die Hacker-Gruppe im Wesentlichen neutralisiert und weitreichende Auswirkungen auf das breitere russische Cybercrime-Ökosystem. Zusätzlich zu seiner Benennung wurde Khoroshev auch von den USA, Großbritannien und Australien sanktioniert. Nach Angaben des US Office of Foreign Assets Control ist Khoroshev 31 Jahre alt und lebt in Russland. Einzelheiten seiner Sanktionsbezeichnung listen auch mehrere E-Mail-Adressen und Kryptowährungsadressen sowie seine russischen Reisepassdaten auf. Die USA haben auch eine Anklage gegen ihn erhoben.
Khoroshev reagierte nicht unmittelbar auf Nachrichten, die an die in den Sanktionen aufgeführten E-Mail-Adressen gesendet wurden. Eine 26 Anklagepunkte umfassende Anklage des US-Justizministeriums listet eine Vielzahl von Anklagepunkten auf, darunter Verschwörung zum Betrug, zur Erpressung und zum Hacking. Die Strafen dafür könnten bis zu 185 Jahre Gefängnis betragen, so das Justizministerium. Die Anklageschrift besagt, dass Khoroshev seit etwa September 2019 als "Entwickler und Administrator" der LockBit-Gruppe fungiert hat, der das "Control Panel" konzipierte und entwickelte, das bei Ransomware-Angriffen verwendet wird. Khoroshev und die LockBit-Gruppe konnten laut Anklageschrift mindestens 500 Millionen US-Dollar von Opfern in 120 Ländern auf der ganzen Welt erpressen, darunter auch Russland, das selten von russischen Cyberkriminellen ins Visier genommen wird.
Die Anklageschrift besagt, dass er aus dieser Tätigkeit rund 100 Millionen Dollar erhalten habe. Vor der Aktion Anfang dieses Jahres war LockBit zu einer der aktivsten Ransomware-Gruppen überhaupt aufgestiegen, die Hunderte von Angriffen pro Monat durchführte und rücksichtslos gestohlene Daten von Unternehmen veröffentlichte, die sich weigerten zu zahlen. Boeing, der Royal Mail Postdienst des Vereinigten Königreichs, ein Kinderkrankenhaus in Kanada und die Industrial and Commercial Bank of China gehörten alle zu den Opfern von LockBit oder seinen verbündeten Gruppen. Einmal forderte LockBit beispielsweise 200 Millionen Dollar von einem Luft- und Raumfahrtunternehmen mit Sitz in Virginia. Die Ermittler beginnen nun auch weitere Details über das Ausmaß und den Umfang der Operationen von LockBit zu durchleuchten.
Der leitende Ermittler der NCA, der wegen seiner weiteren Beteiligung an der Operation nicht öffentlich genannt wird, sagt, LockBit habe bis Ende Dezember 2023 öffentlich 2.350 Opfer auf seiner Leak-Website aufgelistet, aber dies sei nur ein kleiner Bruchteil seiner Aktivitäten gewesen. Im System gab es 7.000 "Angriffsbauten" für individuelle Opfer, sagt der Ermittler. Die USA, das Vereinigte Königreich, Frankreich, Deutschland und China waren die am meisten angegriffenen Länder.
Mehr als 100 Krankenhäuser wurden aufgeführt, obwohl LockBit interne Regeln hatte, keine medizinischen Einrichtungen anzugreifen. "Wenn sie sagten, wir werden die betreffende Person öffentlich feuern, wenn sie das tun, haben sie die Person nicht entlassen", sagt der Ermittler. "Wenn Sie ein Cyberkrimineller sind und in diesen Marktplätzen, Foren oder Plattformen operieren, können Sie sicher sein, dass die Strafverfolgungsbehörden Sie dort beobachten und Maßnahmen gegen Sie ergreifen", sagt Paul Foster, Leiter der National Cyber Crime Unit der NCA. Aufstieg von Supp LockBit tauchte erstmals 2019 als aufstrebende "Ransomware-as-a-Service" (RaaS)-Plattform auf. Unter diesem Setup haben ein Kern-Team von Personen, organisiert unter dem LockBitSupp-Handle, die benutzerfreundliche Schadsoftware der Gruppe erstellt und ihre Leak-Website gestartet.
Diese Gruppe lizenziert den Code von LockBit an "Affiliate"-Hacker, die Angriffe starten und Lösegeldzahlungen aushandeln, wobei sie letztendlich rund 20 Prozent ihrer Gewinne an LockBit weitergeben. Obwohl die Gruppe im Vergleich zu anderen Ransomware-Gruppen anfangs versuchte, ein niedrigeres Profil zu behalten, wurde sie mit der Zeit bekannter und dominierte mehr und mehr das Cybercrime-Ökosystem. Die NCA-Hauptermittler sagt, sie hätten Daten zu 194 Affiliates aus LockBit-Systemen erhalten und seien dabei, deren offline-Identitäten zusammenzusetzen—nur 114 von ihnen hätten kein Geld verdient, sagt der Ermittler. "Es gab einige, die inkompetent waren und keine Angriffe durchführten", sagt er. Im Zentrum des Ganzen stand die LockBitSupp-Persönlichkeit.
Der NCA-Ermittler sagt, es gebe "zahlreiche" Beispiele, in denen der LockBit-Administrator direkt "Verantwortung" für hochkarätige oder hochlösende Verhandlungen übernommen habe, nachdem Affiliates anfangs Unternehmen oder Organisationen angegriffen hatten. Die Anklageschrift behauptet, dass Khoroshev, als LockBitSupp, seine Affiliates genau im Blick behalten und Datenbanken über jeden Affiliate und die von ihnen angegriffenen Opfer geführt hat. "In einigen Fällen forderte Khoroshev Identifikationsdokumente von seinen Affiliate-Mitverschwörern an, die er ebenfalls auf seiner Infrastruktur aufbewahrte", heißt es in der Anklageschrift. Jon DiMaggio, ein Forscher bei der Cybersicherheitsfirma Analyst1, hat sich jahrelang mit LockBit befasst und mit dem LockBitSupp-Handle kommuniziert. "Er behandelte es wie ein Geschäft und suchte oft nach Feedback von seinen Affiliate-Partnern, wie er den kriminellen Betrieb effektiver gestalten könne", sagt DiMaggio.
Die LockBitSupp-Figur würde von seinen Affiliates danach fragen, was sie brauchten, um ihre Arbeit effektiver zu erledigen, sagt der Forscher. Er besaß mehrere gesetzliche Unternehmen, die ebenfalls aus Voronezh stammten, fuhr einen Mercedes und besaß früher einen Mazda 6, nicht wie er oft prahlte, einen Lambo. LockBitSupp wurde im Januar von zwei prominenten russischsprachigen Cybercrime-Foren verbannt, nachdem eine Beschwerde über deren Verhalten eingegangen war. „Im Laufe der Jahre haben sie Partner, Unterstützer, Gegner und Fans gefunden“, sagt Victoria Kivilevich, Director of Threat Research bei der Sicherheitsfirma KELA. Analyse von Cybercrime-Foren durch Kivilevich zeigt, dass die russischsprachigen Ökosysteme gemischte Reaktionen zeigten, einschließlich Überraschung, als LockBit zum ersten Mal von den Behörden kompromittiert wurde.
„Benutzer, die sich darüber freuen, dass LockBit endlich gescheitert ist und bekommen hat, was er verdient, machen Verweise auf seine Aussagen, in denen er prahlte, wie sicher und besser als andere Betriebe LockBit 'RaaS' sei“, sagt Kivilevich. Operation Cronos nahm im Februar LockBit offline. Die Website wurde dann mit vermeintlichen Opfern gefüllt. Es schien, als ob die LockBit-Gruppe nicht von dem Zugriff der Polizei auf all ihre internen Geheimnisse betroffen war. Die kürzlich veröffentlichten Opfer sind jedoch nicht das, was sie vorgeben zu sein, sagen mehrere Experten.
„Der tatsächliche Zugriff der Strafverfolgung war erheblich“, sagt Matt Hull, der globale Leiter für Bedrohungsanalyse bei der Cybersicherheitsfirma NCC Group.“ Die NCA sagt, die Zahl der LockBit-Affiliates sei seit dem Eingreifen im Februar auf 69 gesunken, während die Anklageschrift des DOJ besagt, dass die Anzahl der LockBit-Opfer seitdem „stark reduziert“ sei. Darüber hinaus ist der Glaubwürdigkeit der Marke LockBit weitgehend zunichte gemacht worden. Hull sagt, er sehe, dass kleinere Ransomware-Affiliates und Gruppen "wirklich damit beginnen, sich von LockBit zu distanzieren und sich in andere RaaS-Betriebssysteme zu bewegen". "Es ist unwahrscheinlich, dass wir einen weiteren großen Namen wie LockBit mit solchen Zahlen sehen werden, es sei denn, es gibt eine massive Neupositionierung oder eine plötzliche Änderung der Loyalität gegenüber den Personen hinter LockBit", sagt Hull.
Was LockBitSupp betrifft, wird er wahrscheinlich nicht gut darauf reagieren, öffentlich identifiziert zu werden. Als Operation Cronos die Systeme von LockBit im Februar ausschaltet, verwendete die Polizei seine Leak-Website, um Details über die Gruppe selbst zu veröffentlichen. Nach dem Eingreifen, so die Anklageschrift des DOJ, habe Khoroshev Kontakt zu den Strafverfolgungsbehörden aufgenommen, jedoch versucht, "seine Konkurrenten zum Schweigen zu bringen". „Er bot seine Dienste im Austausch für Informationen über die Identität seiner RaaS-Konkurrenten an“ , heißt es in der Anklageschrift. „Speziell fragte Khoroshev die Strafverfolgungsbehörden während dieses Austausches nach den Namen seiner Feinde.
“ Vor der Benennung durch die Strafverfolgungsbehörden erschien auf der Website ein Countdown, und LockBitSupp reagierte, indem er zahlreiche Opfer veröffentlichte. „LockBitSupp hat viele Feinde und Leute, die darauf warten, seinen Platz einzunehmen“, sagt DiMaggio, der Forscher von Analyst1 und fügt hinzu, dass die Handlungen wahrscheinlich weitergeführt werden, obwohl es schwieriger sein wird. "Es ist viel einfacher, ein böser Bube zu sein, wenn niemand weiß, wer Sie sind. Sein Ruf ist ruiniert und das wird sehr schwierig sein, sich davon zu erholen.".
