BOEING WOHER KOMMT LOCKBIT?
Lockbit wurde im Jahr 2020 entdeckt, als die gleichnamige Schadsoftware in russischsprachigen Cybercrime-Foren gefunden wurde. Am Dienstag hat das US-Justizministerium zwei russische Staatsangehörige angeklagt, die Lockbit-Ransomware gegen Unternehmen und Gruppen auf der ganzen Welt eingesetzt zu haben. Die Polizei in Polen und der Ukraine hat zwei Personen verhaftet.
Die Bande hat sich weder zu einer Regierung bekannt noch wurde sie von einer Regierung offiziell einem Nationalstaat zugeschrieben. "Wir sitzen in den Niederlanden, sind völlig unpolitisch und nur an Geld interessiert", erklärte die Bande auf ihrer inzwischen gelöschten Darkweb-Seite.
In nur drei Jahren war sie nach Angaben von US-Behörden zur weltweit größten Ransomware-Bedrohung geworden. Nirgendwo hat sie mehr Schaden angerichtet als in den Vereinigten Staaten. Mehr als 1.700 amerikanische Organisationen in fast allen Branchen, von Finanzdienstleistungen und Lebensmitteln bis hin zu Schulen, Transportwesen und Regierungsbehörden, waren betroffen. Zu den Opfern gehörte auch der Verteidigungs- und Raumfahrtriese Boeing. Im November letzten Jahres veröffentlichte Lockbit einen Cache mit internen Daten, die es durch einen Einbruch in die Systeme von Boeing erlangt hatte. Anfang 2023 hackte sich die Bande in das System des Finanzdienstleisters ION ein und brachte die Abläufe bei Kunden zum Erliegen, zu denen einige der weltweit größten Banken, Broker und Hedgefonds gehörten.
Sie drang auch in die Industrial and Commercial Bank of China (ICBC) ein und störte den Handel auf dem Markt für US-Staatsanleihen.
WIE GREIFT LOCKBIT ORGANISATIONEN AN?
Die Cybercrime-Bande infiziert das System eines Opfers mit Ransomware - bösartiger Software, die Daten verschlüsselt - und zwingt die Opfer dann zur Zahlung von Lösegeld, um die Daten zu entschlüsseln oder zu entsperren. Das Lösegeld wird in der Regel in Form von Kryptowährung gefordert, die schwerer zu verfolgen ist und dem Empfänger Anonymität verleiht.
US-Beamte und andere Beamte einer Allianz aus 40 Ländern hatten versucht, die weltweite Geißel der Ransomware einzudämmen, indem sie Informationen über die Adressen der Kryptowährungs-Geldbörsen solcher Kriminellen zwischen den Nationen austauschten.
Im Dark Web zeigte der Blog von Lockbit eine ständig wachsende Galerie von Opferorganisationen, die fast täglich aktualisiert wurde. Neben den Namen standen digitale Uhren, die die Anzahl der Tage anzeigten, die jeder Organisation noch blieben, um das Lösegeld zu zahlen. Andernfalls würde die Bande die sensiblen Daten veröffentlichen, die sie gesammelt hatte.
Oft nehmen die Opfer die Hilfe von Cybersecurity-Unternehmen in Anspruch, um herauszufinden, welche Daten abgeflossen sind, und um mit den Hackern über die Höhe des Lösegelds zu verhandeln. Solche Gespräche hinter den Kulissen bleiben in der Regel vertraulich und können manchmal Tage oder Wochen dauern, wie Sicherheitsanalysten berichten.
Es war üblich, dass einige Opfernamen nicht im Lockbit-Blog auftauchten, wenn die Drohung privat ausgesprochen wurde.
WIE HAT LOCKBIT GEARBEITET?
Der Erfolg von Lockbit hing zum Teil von seinen sogenannten "Affiliates" ab - gleichgesinnte kriminelle Gruppen, die rekrutiert wurden, um Angriffe mit den digitalen Erpressungswerkzeugen von Lockbit durchzuführen.
Auf ihrer Website prahlte die Bande mit ihren Erfolgen beim Hacken verschiedener Organisationen und stellte ein detailliertes Regelwerk für Cyberkriminelle auf, die ein "Bewerbungsformular" für die Zusammenarbeit mit ihnen einreichen konnten. "Bitten Sie Ihre Freunde oder Bekannten, die bereits mit uns zusammenarbeiten, sich für Sie zu verbürgen", lautete eine dieser Regeln.
Dieses Geflecht von Allianzen zwischen cyberkriminellen Gruppen macht es schwierig, solche Hackeraktivitäten und Versuche, Lösegeld zu erpressen, zu verfolgen, da ihre Taktiken und Techniken bei jedem Angriff variieren können. (Berichte von Zeba Siddiqui in San Francisco und James Pearson in London; Bearbeitung durch Rod Nickel und Sandra Maler)
