Die US-Justiz hat am 7. Mai Anklage gegen einen russischen Staatsbürger erhoben wegen seiner mutmaßlichen Rolle als Schöpfer, Entwickler und Administrator von LockBit, einer der wohl produktivsten Ransomware-Banden und ein früher Vorreiter des Ransomware-as-a-Service (RaaS) Modells. In einer 26-Punkte Anklage der Grand Jury im Bezirk New Jersey heißt es, dass Dimitry Yuryevich Khoroshev, 31, aus Voronezh, Russland, seit September 2019 mit der LockBit-Ransomware-Gruppe mehr als 2.500 Opfer in mindestens 120 Ländern angegriffen habe, darunter 1.800 Opfer in den Vereinigten Staaten.
Obwohl keine Festnahme erfolgte, unterliegt Khoroshev einer Reihe von Vermögenssperren und Reisebeschränkungen. Laut Anklageschrift wurde Khoroshev wegen einer Verschwörung zur Begehung von Betrug, Erpressung und verwandten Aktivitäten im Zusammenhang mit Computern angeklagt; einer Verschwörung zur Begehung von Drahtbetrug; acht Fällen vorsätzlicher Schädigung eines geschützten Computers; acht Fällen von Erpressung in Bezug auf vertrauliche Informationen von einem geschützten Computer; und acht Fällen von Erpressung in Bezug auf Schäden an einem geschützten Computer. Insgesamt tragen die Anklagepunkte eine Höchststrafe von 185 Jahren Gefängnis. Die Opfer von LockBit umfassen Einzelpersonen, kleine Unternehmen, multinationale Konzerne, Krankenhäuser, Schulen, gemeinnützige Organisationen, kritische Infrastrukturen sowie Regierungs- und Strafverfolgungsbehörden. Zu den prominenten Zielen gehören die Thales Group, das Toronto Hospital for Sick Children und die US-Tochtergesellschaft der chinesischen staatseigenen Industrial and Commercial Bank of China.
Khoroshev und seine Mitverschwörer erbeuteten von ihren Opfern mindestens 500 Millionen US-Dollar an Lösegeldzahlungen und verursachten Milliarden von Dollar an weiteren Verlusten, wie Umsatzeinbußen, Vorfallreaktion und -wiederherstellung, so die Anklageschrift. "Die heutige Anklage gegen den Entwickler und Betreiber von LockBit, Dimitry Yuryevich Khoroshev, setzt die laufenden Bemühungen des FBI zur Unterbrechung des kriminellen Ökosystems von LockBit fort", sagte FBI-Direktor Christopher Wray. "Die LockBit-Ransomware-Gruppe war eine der produktivsten Ransomware-Varianten weltweit und hat Milliarden von Dollar an Verlusten verursacht und in kritische Infrastrukturen, einschließlich Schulen und Krankenhäusern, verheerend eingegriffen. Die heute bekannt gegebenen Anklagepunkte spiegeln das unermüdliche Engagement des FBI wider, ransomware-Organisationen zu stören und die Täter zur Rechenschaft zu ziehen." Die Anklage gegen Khoroshev folgt auf viele Monate und Jahre internationaler Bemühungen der Strafverfolgungsbehörden, LockBit zu Fall zu bringen.
Anfang dieses Jahres übernahm eine Taskforce von 17 Behörden, darunter das FBI, die National Crime Agency (NCA) in Großbritannien und Europol, die Kontrolle über wichtige LockBit-Infrastrukturen, einschließlich zahlreicher Darknet-Websites. Ein FBI-Beamter sagte Bloomberg, dass Strafverfolgungsbehörden aus 11 Ländern an der Operation teilnahmen, die 11.000 von LockBit und seinen Ransomware-Mitgliedern verwendete Domains beschlagnahmte. Sicherheitsprofis haben unterschiedliche Ansichten zur Anklage gegen Khoroshev. „Auf die gleiche Weise, wie die Festnahme des Kopfes eines Drogenkartells wenig dazu beiträgt, den Drogenschmuggel in die USA zu verlangsamen, handelt es sich hier um eine weitgehend bedeutungslose Maßnahme“, sagte Steve Hahn, Executive Vice President Americas bei BullWall.
„Es wurde niemand festgenommen. Es scheint, als hätten sie nicht an sein Geld herankommen können. Sanktionen funktionieren nur, wenn er außerhalb Russlands reist, was unwahrscheinlich ist. Aber wenn er das tut, bin ich sicher, dass er mehrere Identitäten hat. Also sie haben nur ihn identifiziert und nicht mehr.
“ Hahn fügte hinzu, dass diejenigen, die behaupten, die Sanktionen würden seine Bitcoin-Zahlungen beeinträchtigen, ebenfalls völlig fehlgeleitet seien. Bedrohungsakteure wie diese nutzen keine öffentlichen Börsen oder Dienste wie Coinbase, um ihre Bitcoin-Guthaben zu speichern, sagte Hahn – sie verwenden sichere private Geldbörsen, die nicht sanktioniert werden können. „Diese Gruppen lösen sich oft auf und bilden sich neu mit neuen Identitäten und Namen, so dass der Verlust von Mitverschwörern wahrscheinlich ein solcher Umgruppierungsprozess ist“, sagte Hahn. „Erst vor ein paar Monaten behauptete das FBI, BlackCat-Infrastruktur zum Zusammenbruch gebracht zu haben, und die Hoffnung war, dass dies den Betrieb stören würde. Bei dem BlackCat-Ereignis gab es tatsächliche Festnahmen und tatsächliches Beschlagnahmen.
Tage später war BlackCat wieder voll einsatzfähig und Wochen später ermöglichten sie den kostspieligsten Ransomware-Angriff in der Weltgeschichte auf United Healthcare.“ Sarah Jones, Cyber-Bedrohungsanalystin bei Critical Start, glaubte, dass die konzentrierten Bemühungen der Strafverfolgung gegen LockBit wahrscheinlich einen erheblichen Einfluss haben, warnte jedoch davor, dass der Kampf noch lange nicht vorbei sei. Jones sagte, dass die Abschaltung der Infrastruktur von LockBit und die Sanktionen gegen ihren Anführer ihren Betrieb durcheinander gebracht hätten. „Die gestörte Funktionalität, ein zersplittertes Netzwerk von Mitverschwörern, die Sanktionen misstrauisch gegenüberstehen, sowie ein möglicher Rückgang der Lösegeldzahlungen aufgrund des Risikos, gegen Regularien zu verstoßen, zeichnen ein Bild von einem geschwächten LockBit“, sagte Jones. „Die Rückgewinnung der Entschlüsselungsschlüssel durch die Strafverfolgung hilft den Opfern, ihre Daten wiederherzustellen und einige der Schäden durch diese Angriffe zu mindern.
Dieser Schlag dient auch als Abschreckung für andere Cyberkriminelle, die Risiken im Zusammenhang mit Ransomware-Operationen verdeutlicht. Es bleibt jedoch eine Herausforderung bestehen. Die bisherige Anpassungsfähigkeit von LockBit legt nahe, dass sie versuchen könnten, ihre Infrastruktur wieder aufzubauen, neue Mitverschwörer zu rekrutieren oder Möglichkeiten zu finden, Sanktionen zu umgehen.“ Narayana Pappu, Chief Executive Officer bei Zendata, fügte hinzu, dass gezielte Sanktionen dazu führten, dass Ransomware-Gruppen ihre Taktiken änderten, wie im Fall von Evil Corp, das 2020 nach Sanktionen Verluste von über 100 Millionen Dollar für Banken verursachte. „Trotzdem erhöhen die Sanktionen das Bewusstsein für die spezifische Ransomware bei Cybersicherheitsfachleuten, fördern proaktive Milderungsmaßnahmen und wirken, wenn auch nur in geringem Maße, abschreckend und reduzieren das Auftreten eines bestimmten Typs von Ransomware-Vorfällen“, sagte Pappu.
„LockBit hat das RaaS-Modell zwar prominent gemacht, aber es war nicht der einzige Vorreiter – es gab ein paar andere, darunter die Dharma-Ransomware, die dieses Modell bereits vor 2019 angewendet haben, als LockBit begann.“ Für Unternehmen, die nach Mitteln suchen, hat die Strafverfolgung Entschlüsselungsfähigkeiten entwickelt, die es potenziell Hunderten von Opfern auf der ganzen Welt ermöglichen, Systeme zu wiederherzustellen, die mit der LockBit-Ransomware-Variante verschlüsselt wurden. Das Justizministerium sagte, dass Opfer, die von der LockBit-Malware betroffen sind, aufgefordert werden, sich an das FBI zu wenden, um es der Strafverfolgung zu ermöglichen festzustellen, ob die betroffenen Systeme erfolgreich entschlüsselt werden können.
