Mit einer gemeinsame Ermittlungsarbeit von Polizeidienststellen aus insgesamt zehn Ländern konnte die Identität eines der umtriebigsten Cyberkriminellen der vergangenen Jahre ermittelt werden. Hinter der berüchtigten Lockbit-Bande soll ein 31-jähriger Russe stecken. Dmitry C. soll der Mann hinter den Pseudonymen "LockBitSupp", "LockBit" und "putinkrab" sein.

Ransomware als Service

C. fühlte sich hinter seinen Pseudonymen offenbar sicher. Er hat selbst eine Prämie von zehn Millionen Dollar für denjenigen aussetzte, der seine Identität enthüllen könne. Ob C. die Belohnung nun an die Polizeibehörden überweisen kann, ist aber mehr als fraglich: Sein Vermögen wurde eingefroren, außerdem wurde C. mit Reiseeinschränkungen belegt, wie die britische National Crime Agency mitteilt.

Die USA haben außerdem eine Belohnung von bis zu zehn Millionen Dollar für Informationen ausgesetzt, die zur Festnahme des Russen und/oder seiner Verurteilung führen.

C. soll maßgeblich an der Entwicklung des "Ransomware-as-a-Service"-Modells von Lockbit mitgearbeitet haben. Mit der Schadsoftware Lockbit 3.0 wurden etwa Unternehmen und staatliche Stellen sowie öffentliche Einrichtungen wie Krankenhäuser angegriffen. Hatten sich die Kriminellen einmal Zugang zu den Netzwerken verschafft, wurden die Daten verschlüsselt und erst gegen die Zahlung eines Lösegelds wieder freigegeben. 20 Prozent dieser Lösegelder gingen an C. Seine Beute wird auf rund 100 Millionen US-Dollar geschätzt.

7000 Angriffe mit Lockbit

Die Ermittlungen mit dem Namen Operation Cronos erwiesen sich als aufwändig. Sie gipfelten in einem ersten Schlag der britischen Polizei. Sie konnte die Website von Lockbit beschlagnahmen und kritische Infrastruktur des Verbrechernetzwerkes lahmlegen, berichtet Europol. Das tatsächliche Ausmaß der kriminellen Machenschaften von Lockbit war bis dahin noch nicht ganz klar.

Man wusste zwar, dass Lockbit zu einer der aktivsten Cybercrime-Organisationen gehörte, aber von der Dimension waren die Ermittler doch überrascht: Zwischen Juni 2022 und Februar 2024 wurden mehr als 7000 Angriffe über die Dienste von Lockbit durchgeführt wurden. Am aktivsten war Lockbit in den USA, Großbritannien, Frankreich, Deutschland und China. Die Angriffe richteten sich gegen mehr als 100 Krankenhäuser und Unternehmen im Gesundheitsbereich. 2110 Opfer wurden von den Cyberkriminellen in irgendeiner Form zu Verhandlungen gezwungen.

Mit dem Schlag gegen das Netzwerk gelang es den Ermittlern auch, über 2500 Keys zur Entschlüsselung zu beschlagnahmen. Das Europäische Zentrum für Cyberkriminalität (EC3) hat etwa 3500 Informationspakete mit Informationen über Lockbit-Opfer an 33 Länder weitergeleitet. Mit der Unterstützung von Europol haben die japanische Polizei, die National Crime Agency und das FBI ein Tool zur Entschlüsselung für die Opfer von Lockbit entwickelt. Damit sollen die mit der Lockbit-Ransomware verschlüsselten Daten wiederhergestellt werden können. Die Programme zur Wiederherstellung sind öffentlich verfügbar und stehen hier zum Download bereit.

Die Gruppe hat in den letzten zwei Monaten versucht, sich neu zu formieren. Die NCA geht jedoch davon aus, dass die Bande derzeit nur über eine begrenzte Möglichkeit verfügt und die globale Bedrohung durch Lockbit deutlich zurückgegangen ist.

Keine Ehre unter Dieben

Mit der Ehre unter Dieben war es bei Lockbit nicht weit her, wie das Fachmagazin Heise berichtet. Ermittler haben herausgefunden, dass die Handlanger, sogenannte Affiliates, mehrheitlich leer ausgingen. 60 Prozent der Helfer sollen keinen Cent verdient haben. Jeder neue "Rekrut" musste ein Pfand von einer Bitcoin hinterlegen. Damit machten die Möchtegern-Erpresser gewaltige Verluste: Ist ein Bitcoin aktuell doch rund 60.000 Euro wert. Profitiert soll nur der Kopf der Bande haben: Dmitry C. aus Woronesch. (pez, 8.5.2024)