Operation Cronos: Vorgehen gegen Lockbit

Operation Cronos – wenn , dann Lockbit, so war lange das Credo: LockBit gilt als die weltweit am weitesten verbreitete und schädlichste Ransomware, die Schäden in Milliardenhöhe verursacht hat.

Nun wurde bekannt (dazu bei EUROPOL), dass in einer im Kampf gegen die Cyberkriminalität bislang beispiellosen Aktion eine Kooperation von Strafverfolgungsbehörden aus 10 Ländern gegen die LockBit-Ransomware-Gruppe vorgegangen ist, um sie auf allen Ebenen zu stören und ihre Fähigkeiten und Glaubwürdigkeit schwer zu beschädigen. Dabei zeigt sich, dass offenkundig – wie ohnehin zu erwarten ist in diesem Umfeld – auch nach Zahlung von Lösegeld nicht gelöscht wird.

Operation Cronos: Ergebnisse der Razzia

Die Razzia wurde von der britischen National Crime Agency im Rahmen einer internationalen Task Force mit dem Namen „Operation Cronos“ durchgeführt und auf europäischer Ebene von Europol und Eurojust koordiniert. Die Ergebnisse sind wie folgt:

  • Die monatelange Operation führte zur Kompromittierung der Hauptplattform von LockBit und anderer wichtiger Infrastrukturen, die das kriminelle Unternehmen ermöglichten. Unter anderem wurden 34 Server in den Niederlanden, Deutschland, Finnland, Frankreich, der Schweiz, Australien, den Vereinigten Staaten und dem Vereinigten Königreich abgeschaltet.
  • Darüber hinaus wurden auf Ersuchen der französischen Justizbehörden zwei LockBit-Akteure in Polen und der Ukraine verhaftet. Drei internationale Haftbefehle und fünf Anklageschriften wurden von den französischen und amerikanischen Justizbehörden ausgestellt.
  • Die Behörden haben nach eigenen Angaben über 200 Kryptowährungskonten eingefroren, die mit der kriminellen Organisation in Verbindung stehen, und unterstreichen damit ihre Entschlossenheit, die wirtschaftlichen Anreize für Ransomware-Angriffe zu beseitigen.
  • Die NCA berichtet, dass man die Systeme infiltriert hat und sogar im Besitz des Quellcodes der LockBit-Plattform ist
  • Die NCA berichtet weiter, dass einige der Daten auf den Systemen von LockBit Opfern gehörten, die Lösegeld an die Kriminellen gezahlt hatten. Dies zeigt, dass selbst die Zahlung von Lösegeld keine Garantie dafür ist, dass die Daten gelöscht werden, auch wenn die Kriminellen dies versprochen haben.
  • Die NCA hat über 1.000 Entschlüsselungsschlüssel erhalten und wird in den nächsten Tagen und Wochen mit den Opfern in Großbritannien Kontakt aufnehmen, um ihnen Unterstützung anzubieten und ihnen bei der Wiederherstellung ihrer verschlüsselten Daten zu helfen.

Gesammelte Daten durch Cronos

Europol weist darauf hin, dass die Strafverfolgungsbehörden über eine große Menge an Daten verfügen, die im Laufe der Ermittlungen gesammelt wurden. Diese Daten werden zur Unterstützung der laufenden internationalen operativen Maßnahmen verwendet, die sich auf die Anführer dieser Gruppe sowie auf die Hintermänner, die verbundenen Unternehmen, die Infrastruktur und die mit diesen kriminellen Aktivitäten verbundenen Vermögenswerte konzentrieren. Mehr als 14 000 betrügerische Konten, die für die Exfiltration oder die Infrastruktur verantwortlich sind, wurden identifiziert und zur Löschung an die Strafverfolgungsbehörden weitergeleitet.

Es wird erwartet, dass – wie seinerzeit nach dem Zugriff auf den Cyberbunker – eine Flut von Daten sowohl für andere laufende Ermittlungen als auch für die Einleitung neuer Verfahren zur Verfügung stehen wird. Erfahrungsgemäß wird man sich zunächst auf Kooperationspartner und Rechenzentren konzentrieren, danach auf die Ermittlung der Hintermänner.

Hinweis: Die NCA erklärte, sie habe die Kontrolle über die primäre Verwaltungsumgebung von LockBit übernommen, die es den Mitgliedern ermöglichte, Angriffe zu erstellen und auszuführen, sowie über die öffentliche Leak-Website der Gruppe im Dark Web, auf der sie zuvor die von den Opfern gestohlenen Daten gehostet und mit deren Veröffentlichung gedroht hatte. Stattdessen wird diese Seite nun eine Reihe von Informationen enthalten, die die Fähigkeiten und Operationen von LockBit offenlegen und die die NCA im Laufe der Woche täglich veröffentlichen wird.

Die Affiliates stehen dabei besonders im Fokus: Die NCA berichtet, dass nach dem Eindringen in die Systeme von LockBit auch Informationen über deren kriminelle Aktivitäten und die mit ihnen zusammenarbeitenden Personen gesammelt wurden. Dazu gehörte auch ihr Netzwerk von 194 „Partnerfirmen“. Auf diese Weise wurden der Quellcode der LockBit-Plattform und eine große Menge an Informationen über ihre Aktivitäten und diejenigen, die mit ihnen zusammenarbeiteten und ihre Dienste nutzten, um Organisationen auf der ganzen Welt zu schädigen, aus ihren Systemen erlangt. Zur Demonstration wurde ein Screenshot mit ausgewählten Namen veröffentlicht.

Operation Cronos. Lockbit Affiliates

Was ist Lockbit?

LockBit gilt als die weltweit am weitesten verbreitete und schädlichste Ransomware, die Schäden in Milliardenhöhe verursacht hat: Lockbit ist eine Ransomware-Gruppe, die für ihre Cyberangriffe bekannt ist, bei denen sie Unternehmensdaten verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt. Die Gruppe betreibt auch ein Ransomware-as-a-Service-Modell, bei dem sie ihre Ransomware anderen Cyberkriminellen zur Durchführung von Angriffen zur Verfügung stellt und sich dann die Einnahmen aus den Lösegeldzahlungen teilt.

IT-Sicherheitsrecht & Sicherheitsvorfall

Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!

Lockbit ist dafür bekannt, seine Taktiken und Methoden ständig zu verbessern, um die Erkennung und Gegenmaßnahmen zu erschweren. Sie richten sich häufig gegen große Unternehmen und Organisationen und haben weltweit bereits zahlreiche Opfer gefordert. Es gibt bereits eine erste Reaktion von Lockbit dazu. Die genauen Hintergründe und Identitäten der Personen hinter Lockbit sind – inzwischen mit ersten Ausnahmen – noch weitgehend unbekannt, es gibt jedoch einige allgemeine Informationen und Vermutungen über die Gruppe:

  • Herkunft und Standort: Es wird vermutet, dass Lockbit seinen Ursprung in Russland oder Osteuropa hat. Diese Annahme basiert auf der Art der Angriffe, der Zielauswahl und der Vermeidung von Angriffen auf Unternehmen in bestimmten geografischen Regionen, was typisch für viele osteuropäische Cybercrimegruppen ist.
  • Organisationsstruktur: Lockbit scheint nach dem Ransomware-as-a-Service-Modell zu arbeiten, bei dem die Entwickler der Ransomware diese an andere Cyberkriminelle vermieten oder verkaufen. Diese „Affiliates“ führen dann die Angriffe durch und teilen sich die erzielten Gewinne.
  • Taktiken und Methoden: Lockbit nutzt oft ausgeklügelte -Kampagnen, Schwachstellen in Software und Netzwerken und andere Methoden, um Zugang zu den Systemen ihrer Opfer zu erlangen.
  • Ziele und Opfer: Lockbits richten sich in der Regel gegen große Unternehmen und Organisationen in verschiedenen Branchen weltweit. Sie zielen auf Organisationen ab, von denen sie annehmen, dass sie eher bereit sind, hohe Lösegelder zu zahlen.

Jedenfalls eine (die?) führende Person will man identifiziert haben: D.K., ein russischer Staatsbürger und aus Sicht der Ermittler führender Entwickler der Cyberkriminalitätsgruppe LockBit, wurde kürzlich von Großbritannien, den USA und Australien aufgedeckt und sanktioniert. D.K., wohl auch bekannt unter dem Namen LockBitSupp, war bisher anonym und wird nun mit Vermögenssperren und Reiseverboten belegt. Zusätzlich haben die USA eine gegen ihn erhoben und bieten eine Belohnung für Hinweise, die zu seiner oder Verurteilung führen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.