Lockbit: Großbritannien führt die Zerschlagung großer Cyberkriminalitätsbanden an

Das Vereinigte Königreich hat eine Operation zur Zerschlagung der vermutlich weltweit größten kriminellen Ransomware-Gruppe durchgeführt.

Die National Crime Agency (NCA) brach in Systeme von Lockbit ein und stahl deren Daten.

Es wird angenommen, dass die Organisation ihren Sitz in Russland hat und eine sehr produktive Ransomware-Gruppe ist, die Dienstleistungen an andere Kriminelle verkauft.

Am Montagabend erschien auf der Website von Lockbit eine Nachricht, dass das Unternehmen „jetzt unter der Kontrolle der Strafverfolgungsbehörden“ stehe.

Diese Aktivität gilt als eine der schwerwiegendsten Störungen in der Welt der Cyberkriminalität. Das FBI, Europol und andere Länder waren ebenfalls an der langjährigen Operation beteiligt, doch dies ist das erste Mal, dass sie vom Vereinigten Königreich angeführt wird.

Kriminelle nutzen Lockbit, um in Computer von Unternehmen und Organisationen einzudringen und Benutzer auszusperren, bis ein Lösegeld gezahlt wird. Sie stehlen häufig Daten und drohen mit deren Herausgabe.

Das Team entstand 2019 und etablierte sich als dominanter Spieler. Einige Schätzungen gehen davon aus, dass Ransomware einen Marktanteil von 20–25 % ausmacht.

Zu den bekanntesten Zielen von Lockbit gehörte Royal Mail, das im Januar 2023 angegriffen wurde und internationale Lieferungen störte. Im vergangenen November sorgte auch die Industrial and Commercial Bank of China (ICBC) für großen Einfluss in der Finanzwelt. Betroffen sein sollen der NHS, die Anwaltskanzlei Allen & Overy und Boeing, Zulieferer der Raumfahrtbehörde.

Die Operation wird seit einiger Zeit verdeckt durchgeführt, wobei die Strafverfolgungsbehörden Daten sammeln, bevor sie am Montagabend an die Öffentlichkeit gehen.

Den Technikern von NCA gelang es, in die eigenen Systeme von Lockbit einzudringen und die Kontrolle zu übernehmen. Auf diese Weise konnten sie große Mengen vertraulicher Daten über die Aktivitäten der kriminellen Gruppe stehlen.

Da viele Unternehmen manchmal Lösegeld zahlen, ohne zuzugeben, dass sie gehackt wurden, können diese Daten einen einzigartigen Einblick in das wahre Ausmaß der Arbeit der Gruppe liefern.

Als sie in die offene Phase der Operation übergingen, machten die Polizeibeamten ihre Unterwanderung öffentlich.

Sie übernahmen die Kontrolle über die Website im Dark Web, auf der Lockbit für seine Aktivitäten warb und sie durch Logos verschiedener Strafverfolgungsbehörden und eine Nachricht mit der Aufschrift „Diese Website steht unter der Kontrolle der britischen National Crime Agency und arbeitet eng mit dieser zusammen.“ das FBI und die internationale Strafverfolgungs-Task Force „Operation Chronos“.

Auf einer Pressekonferenz am Dienstagmorgen sagte der Leiter der NCA, Graeme Picker, er schätzte, dass die Gruppe im vergangenen Jahr für 25 % der Ransomware-Angriffe verantwortlich sei.

Er vermutete, dass diese Vorfälle zu Schäden in Milliardenhöhe führten. Er sagte, es gebe weltweit Tausende Opfer, darunter 200 im Vereinigten Königreich – obwohl es tatsächlich noch viel mehr hätte geben können, sagte er.

Lockbit verkauft seine kriminellen Dienste an zentrale Kunden, sogenannte Affiliates.

Diese Partner werden für die Durchführung von Hacking-Aktivitäten bezahlt und erhalten sowohl schädliche Software als auch Ratschläge.

Doch nach der Aktion der Strafverfolgungsbehörden erhielten Partner, die versuchten, sich auf der Website einzuloggen, eine weitere Nachricht, dass die internen Daten von Lockbit nun in den Händen der Strafverfolgungsbehörden seien, darunter Angaben zu Opfern, das Ausmaß der Erpressung „und vieles, viel mehr“. Die Nachricht fügte hinzu: „Wir werden uns in Kürze mit Ihnen in Verbindung setzen.“

In der Vergangenheit gab es sogenannte „Take-Downs“, aber in vielen Fällen sind kriminelle Gruppen wieder aufgetaucht, nachdem ihre Online-Aktivitäten durch die Strafverfolgungsbehörden unterbrochen wurden, was die langfristigen Auswirkungen begrenzt.

Aber in diesem Fall hoffen die Hintermänner, einen erheblichen Einfluss zu haben, indem sie die Glaubwürdigkeit der Gruppe untergraben und ihren Ruf angreifen. Der Konzern setzt stark auf Branding. Es hat auch Menschen dafür bezahlt, sich die Marke Lockbit auf den Körper tätowieren zu lassen.

Indem sie Misstrauen schüren, indem sie den Partnern bewusst machen, dass die Strafverfolgungsbehörden jetzt über ihre Daten verfügen, was einen Keil zwischen ihnen und den Lockbit-Betreibern treibt, betrachten die Strafverfolgungsbehörden andere Kriminelle als ein Risiko, in Zukunft mit ihnen zusammenzuarbeiten. .

Diejenigen, die direkt an dem Schritt beteiligt waren, bezeichneten den Schritt als einen „Schrittwechsel“ bei der Reaktion auf Cyberkriminalität und sagten, sie seien davon überzeugt, dass das Vereinigte Königreich kurz- bis mittelfristig deutlich sicherer vor Cyberangriffen sein werde.

Ciaran Martin, der ehemalige Leiter der britischen National Cyber ​​​​Security, sagte gegenüber der BBC: „Dies ist bei weitem eine der größten Störungen, die jemals gegen ein Ransomware-Unternehmen verübt wurden.“

„Es gibt nur wenige größere Akteure im Bereich Ransomware als Lockbit, und die NCA scheint sie vollständig zu ‚besitzen‘, wie wir in der Cybersicherheit sagen“, fügte er hinzu.

Es wird angenommen, dass die Hintermänner der Lockbit-Gruppe ihren Sitz in Russland haben, was bedeutet, dass sie wie andere ähnliche Gruppen außerhalb der Reichweite der Strafverfolgungsbehörden sind, um sie zu verhaften. Das bedeutet, dass Störungen die einzig realistische Option sind, um ihre Arbeit zu untergraben und die Cybersicherheit zu verbessern.

Als das FBI letztes Jahr eine ähnliche Operation gegen die Gruppe Blackgate startete, stritten sich die Gruppe und die US-Strafverfolgungsbehörden um die Kontrolle über das Gelände, ein Zeichen dafür, dass diese Operationen nicht immer gut geplant sind.

Es besteht jedoch die Hoffnung, dass der Schritt durch die öffentliche Offenlegung der Geschäftstätigkeit von Lockbit diese ausreichend stören wird, um eine schnelle Wende zu verhindern.