#Europol #schaltet #LockBitGangserver #offline
Unter der Führung von Europol wurden in einer groß angelegten Störungskampagne 34 Server der berüchtigten Ransomware-Gruppe LockBit lahmgelegt. In Polen und der Ukraine kam es zu zwei Festnahmen. Dreizehn wichtige Server in den Niederlanden gingen offline. Europol geht davon aus, dass dies die kriminellen Aktivitäten der Gruppe ernsthaft gestört und beeinträchtigt hat. An der Aktion beteiligten sich die niederländische Polizei und Polizeidienste aus zehn Ländern.
Dem ging eine monatelange Untersuchung voraus, die darauf abzielte, die primäre Plattform von LockBit und andere kritische Infrastrukturen, die dieses kriminelle Unternehmen ermöglichten, lahmzulegen. LockBit gilt als die gefährlichste Ransomware-Bande der Welt. Diese Gruppe war in den letzten Jahren für ein Viertel der weltweiten Angriffe verantwortlich und verursachte Schäden in Milliardenhöhe. Auch verschiedene Parteien in den Niederlanden fielen zum Opfer, darunter der KNVB, Knipmeijer und Blok (Elektrotechnik), Kendrion, Joris Zorg und Metalnet. Es gibt starke Anzeichen dafür, dass der Fußballverband gezahlt hat. Einer der Anführer der Bande hatte zuvor gegenüber De Volkskrant erklärt, dass er jeden angreifen werde, der als zahlungsfähig erachtet werde.
Die heutige Aktion erstreckte sich über die Niederlande, Deutschland, Finnland, Frankreich, die Schweiz, Australien, die Vereinigten Staaten und das Vereinigte Königreich. Die Cyberkriminalitätsteams der Einheiten Ostbrabant und Seeland-Westbrabant waren direkt an der internationalen Untersuchung beteiligt. Diese regionalen Einheiten stellten Wissen über Ransomware zur Verfügung. „Eines unserer Ziele war es, den Arbeitsprozess dieser Gruppe zu stören“, sagte ein Cyberspezialist des Ermittlungsteams. „Wir haben komplexe digitale Untersuchungen zu verschiedenen Teilen der Infrastruktur durchgeführt. „Das musste schnell gehen und wir konnten so einen wichtigen Beitrag zur internationalen Disruptionskampagne leisten.“
Gilt als unantastbar
Mehr als zweihundert Kryptowährungskonten wurden eingefroren. Die britische National Crime Agency hat nun die Kontrolle über die technische Infrastruktur übernommen, die den Betrieb aller Elemente des LockBit-Dienstes ermöglicht. Die Polizei gelangte auch an die „Leak-Seite“ im Darknet. Dort hosten die Kriminellen die Daten, die Opfer von Ransomware-Angriffen gestohlen haben.
Bei den Ermittlungen sammelten die Polizeikräfte eine enorme Datenmenge. Diese Daten könnten bei Folgemaßnahmen gegen die Anführer dieser Gruppe, die sich bis vor Kurzem für unantastbar hielten, noch nützlich sein. Die Polizei nimmt auch Entwickler, Komplizen und andere Komplizen ins Visier.
Ransomware-as-a-Service
LockBit tauchte erstmals Ende 2019 auf und nannte sich zunächst „ABCD“-Ransomware. Seitdem ist sie rasant gewachsen und wurde im Jahr 2022 zur weltweit am weitesten verbreiteten Ransomware-Variante. Bei der Gruppe handelt es sich um einen „Ransomware-as-a-Service“-Betrieb, das heißt, ein Kernteam erstellt die Malware und betreibt die Website, während der Code an angeschlossene kriminelle Gruppen lizenziert wird, die Angriffe starten.
LockBit war auf der ganzen Welt aktiv. Die Bande war tief in Russland verwurzelt, entwickelte sich jedoch zu einem internationalen Verbrechersyndikat mit „Ablegern“ auf der ganzen Welt. Hunderte von Cyberkriminalitätsbanden schlossen sich dieser Organisation an, um Ransomware-Operationen mithilfe der LockBit-Tools und -Infrastruktur durchzuführen. Die Lösegeldzahlungen wurden zwischen dem Kernteam von LockBit und den angeschlossenen Banden aufgeteilt, die durchschnittlich drei Viertel der eingenommenen Lösegeldzahlungen erhielten.
Neu starten?
Ivan Kwiatkowski, Forscher beim Cybersicherheitsunternehmen Harfanglab, warnt davor, dass die Deaktivierung der Server und der kriminellen Infrastruktur nicht unbedingt das Ende der Lockbit-Organisation bedeutet. Er sagt: „Wir haben in der Vergangenheit viele Fälle gesehen, in denen Gruppen einen Weg gefunden haben, zurückzukommen, ihre Architektur umzustrukturieren und letztendlich weiterzumachen.“ Kwiatkowski hält es für unwahrscheinlich, dass alle Lockbit-Anführer oder -Mitglieder verhaftet werden. „Das bedeutet, dass viele Branchen weiterhin Ransomware verbreiten können.“
Entschlüsselungstools
Die japanische Polizei hat zusammen mit Europol und dem FBI eine Reihe von Entschlüsselungstools entwickelt, mit denen Sie mit LockBit verschlüsselte Dateien wiederherstellen können. Diese stehen auf der No More Ransom-Website kostenlos in 37 verschiedenen Sprachen zur Verfügung.
