Update: Zürcher Strafverfolger verhelfen zu Schlag gegen Lockbit-Gruppe
Strafverfolgern ist ein weiterer Schlag gegen die Ransomware-Gruppe Lockbit geglückt. Dank Rechtshilfeersuchen des Kantons Zürich konnte ein Lockbit-Täter verurteilt werden, der auch an Attacken in der Schweiz beteiligt war.
Update vom 22.07.2024: Strafverfolgungsbehörden haben im US-Bundesstaat New Jersey einen kanadisch-russischen Doppelbürger verurteilt, der an Lockbit-Attacken beteiligt war. Dank Rechtshilfeersuchen des Kantons Zürich, konnten dem Mann auch Attacken auf Schweizer Opfer zur Last gelegt werden, wie die Staatsanwaltschaft des Kantons Zürich mitteilt. Dem 34-Jährigen drohe nun eine Freiheitsstrafe von bis zu 45 Jahren.
Bereits im Februar 2024 konnten die Zürcher Strafverfolgungsbehörden sieben Server der international agierenden Täterschaft stilllegen. Ausserdem legten die Behörden 10'000 von Lockbit genutzte Benutzerkonten lahm, wie es weiter heisst.
Update vom 26.02.2024:
Lockbit droht mit neuen Ransomwareangriffen
Nach der Polizeiaktion "Operation Chronos" will sich Lockbit nicht geschlagen geben. Wie "Bleeping Computer" berichtet, veröffentlichte die Ransomwaregruppe eine Nachricht zu den Hintergründen und den Folgen der Polizeiaktion aus ihrer Sicht. "Persönliche Fahrlässigkeit und Verantwortungslosigkeit" hätten zu deren Erfolg beigetragen, schreibt die Gruppe darin. Allerdings hätten die Strafverfolger nur PHP-Server beschlagnahmen können.
In der Mitteilung schreibt Lockbit weiter, man werde seine Infrastruktur weiter absichern und auf mehrere Server aufteilen, um künftige Angriffe zu erschweren. Laut "Bleeping Computer" hat die Gruppe eine neue Seite im Darknet aufgeschaltet. Dort seien die Namen von fünf neuen Opfern aufgeführt.
Derweil analysierte Trend Micro den von den Strafverfolgungsbehörden beschlagnahmten Quellcode der Lockbit-Ransomware. Laut dem Cybersecurity-Anbieter tüftelte die Gruppierung an einer neuen Version ihrer Verschlüsselungs-Malware. Sie soll auf verschiedenen Betriebssystemen lauffähig sein und drei Verschlüsselungs-Modi unterstützen, heisst es bei "Bleeping Computer".
Update vom 21.02.2024:
Strafverfolger verhaften Lockbit-Mitglieder
Europol hat neue Details zur internationalen Aktion "Operation Chronos" gegen die Ransomware-Bande Lockbit veröffentlicht. Demnach konnten die Strafverfolger als Folge der monatelangen Operation 34 Server der kriminellen Hackergruppe übernehmen und abschalten. Diese befinden sich in den Niederlanden, Deutschland, Finnland, Frankreich, Australien, den Vereinigten Staaten, dem Vereinigten Königreich und der Schweiz. Des Weiteren wurden zwei Lockbit-Mitglieder in Polen und der Ukraine verhaftet. Französische und US-amerikanische Behörden stellten drei internationale Haftbefehle und fünf Anklageschriften aus.
Die Behörden froren über 200 Kryptowährungskonten ein, die Lockbit für Transaktionen nutzte. Lockbits IT-Infrastruktur ist jetzt in den Händen der britischen National Crime Agency (NCA), wie es weiter heisst. Diese Behörde merkt an, sie habe auf den beschlagnahmten Systemen auch Daten von Opfern gefunden, die ein Lösegeld an die Bedrohungsakteure gezahlt hatten. Dies sei Beweis dafür, dass es keine Garantie dafür gibt, dass Daten gelöscht würden, selbst wenn ein Lösegeld gezahlt wird.
Ebenfalls im polizeilich beschlagnahmten Datenschatz befinden sich laut Mitteilung über 1000 Encryption-Keys, mit denen die Cyberkriminellen die Daten ihrer Opfer verschlüsselten. Mit dem Fund sei man nun in der Lage, Lockbit-Opfer beim Entschlüsseln ihrer Daten zu helfen, schreibt die NCA. Und Europol kündet an, Lockbit-Entschlüsselungs-Tools auf dem "No More Ransom" Portal aufzuschalten.
"Wir haben die Fähigkeiten und vor allem die Glaubwürdigkeit einer Gruppe beschädigt, die auf Geheimhaltung und Anonymität angewiesen war", lässt sich NCA-Generaldirektor Graeme Biggar zitieren. "Unsere Arbeit ist hier nicht zu Ende. Lockbit könnte versuchen, ihr kriminelles Unternehmen wieder aufzubauen. Wir wissen jedoch, wer sie sind und wie sie arbeiten. Wir sind hartnäckig und werden nicht aufhören, diese Gruppe und jeden, der mit ihr in Verbindung steht, ins Visier zu nehmen."
Originalmeldung vom 20.2.2024:
Strafverfolger übernehmen Darknet-Präsenz der Ransomware-Gruppe Lockbit
Strafverfolgern ist ein harter Schlag gegen die Ransomwarebande Lockbit geglückt. Dabei ist es ihnen gelungen, die Darknet-Seite der Cyberkriminellen zu übernehmen, wie "Bleeping Computer" berichtet. Wer diese Seite jetzt besucht, erhält die Information, dass die Seite jetzt von der Polizeibehörde des Vereinigten Königreichs kontrolliert werde, die wiederum eng mit dem US-amerikanischen FBI und der internationalen Strafverfolgungsaktion "Operation Chronos" zusammenarbeite. Die National Crime Agency (NCA) bestätigt gegenüber Bleeping Computer, man habe im Rahmen einer laufenden internationalen Aktion die Lockbit-Dienste unterbrochen.
Wie Bleeping Computer unter Berufung auf ein angebliches Lockbit-Mitglied schreibt, konnte das FBI die Server durch Ausnutzung einer PHP-Schwachstelle übernehmen.
Schliesslich zitiert das Portal aus einer von den Strafverfolgern geschriebenen Nachricht an die Hacker. Darin heisst es, man habe die Kontrolle über die Plattform von Lockbit übernommen samt aller dort gespeicherten Daten. Darunter befinden sich Quellcode, Details zu den Opfern und den erpressten Geldbeträgen, gestohlene Daten und Chats.
Laut "Watson" beteiligen sich auch Schweizer Behörden an der "Operation Chronos". Konkret haben Zürcher Behörden Rechtshilfe geleistet.
Die Liste der Opfer von Lockbit ist lang. Im Januar 2024 geriet etwa ein Schweizer Vermieter von Baumaschinen ins Fadenkreuz der Hacker, wie Sie hier lesen können. Letztes Jahr traf es unter anderem die Royal Mail des Vereinigten Königreichs.
Bereits letztes Jahr konnten Polizeien erfolgreich gegen Lockbit vorgehen und einen jungen Russen vor Gericht bringen. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.