Am Anfang dieser Woche haben zehn internationale Strafverfolgungsbehörden, darunter auch solche aus Deutschland, die Kontrolle über die Darknet-Seiten der Ransomware-Bande Lockbit übernommen. Diese mutmaßlich russische Bande bietet Ransomware-as-a-Service an, also Software und Infrastruktur als kostenpflichtige Dienstleistung für andere Online-Kriminelle. In Polen und der Ukraine wurden Verdächtige verhaftet.
Die Ermittler haben bei der „Operation Cronos“ offenbar die seit November 2023 bekannte PHP-Schwachstelle CVE-2023-3824 ausgenutzt, um letztlich 34 Lockbit-Server in Europa, Australien und den USA zu übernehmen. Dabei sind ihnen auch Tools und Schlüsseldaten in die Hände gefallen, mit denen verschlüsselte Dateien auf den Rechnern der Opfer wieder entschlüsselt werden können. Auch etliche Krypto-Wallets der Kriminellen haben die Strafverfolger dabei beschlagnahmt.
Die gefährlichste Malware des Jahres 2023
In Polen und in der Ukraine sind zwei Personen verhaftet worden, die wahrscheinlich Lockbit-Kunden sind. Diese sogenannten Affiliates betätigen sich als Erpresser und nutzen dazu die bereitgestellten Tools und Dienste der Lockbit-Bande. Zudem ist in den USA Anklage gegen zwei Russen erhoben worden, die noch nicht gefasst wurden. Weitere Informationen aus der Operation Cronos wollen die Behörden in den nächsten Tagen schrittweise veröffentlichen, auch die Identitäten mutmaßlicher Lockbit-Köpfe, die noch auf freiem Fuß sind.
Europol
Während dieser Schlag gegen die weltweit produktivste Ransomware-Bande fraglos ein großer Erfolg ist, kommen doch Zweifel auf, ob dies wirklich das Ende der Lockbit-Gruppe bedeutet. Mitglieder der Gruppe behaupten, sie verfügten noch immer über Backup-Server, die den Behörden nicht in die Hände gefallen seien. Chester Wisniewski, Global Field CTO bei Sophos, schätzt, dass ein erheblicher Teil der Lockbit-Infrastruktur noch immer unter der Kontrolle der Kriminellen ist. Doch jeder behördliche Erfolg, der die Handlungen der Täter störe und das Misstrauen unter ihren Partnern erhöhe, sei ein großer Gewinn.
Erpresser-Viren: Wie Sie sich schützen
Die japanische Polizei hat inzwischen ein Entschlüsselungsprogramm (Decryptor) erstellt, mit dem die Opfer der Lockbit-Ransomware ihre verschlüsselten Dateien wieder entschlüsseln können. Es steht auf der Website „No More Ransom“ unter dem Eintrag „Lockbit 3.0 Ransom“ zum Download bereit.
Antivirus, Online Services, Security Software and Services