20 Prozent aller Ransomware-Angriffe des letzten Jahres sind dem Hacker-Netzwerk Lockbit zuzuschreiben. Jetzt steht die Darknet-Website der weitaus größten Ransomware-Gruppierung unter der Kontrolle internationaler Strafverfolgungsbehörden. An der Operation „Cronos“ beteiligten sich zehn Ermittlungsbehörden aus unterschiedlichen Ländern unter der Koordination von Europol.
Was steckt hinter dem Hacker-Netzwerk Lockbit?
Bei Lockbit handelt es sich um eine Gruppierung, die Ransomware-as-a-Service, kurz RaaS, anbietet. Das bedeutet, dass Teile von Ransomware-Kampagnen, insbesondere Erpresser-Software, als illegale Dienstleistung angeboten und verkauft werden. Insgesamt sollen Lockbit und deren Handlanger somit für über 2 000 Cyberangriffe auf der ganzen Welt verantwortlich sein. Im Fokus dabei steht die digitale Erpressung von Unternehmen und Behörden. Zu den Opfern des Lockbit-Systems zählen einige der größten Unternehmen weltweit, aber auch Privatpersonen. Mit Beute von 110 Millionen Euro durch Lösegeld-Erpressungen wird Lockbit von den Strafverfolgungsbehörden als „die schädlichste Cyberkriminalitätsgruppe der Welt“ bezeichnet.
„Lockbit gilt als die bei Weitem produktivste, am besten ausgestattete, professionellste und fähigste Ransomware-Gruppe. Ein Fünftel aller Ransomware-Angriffe kamen 2023 von Lockbit“, erklärt Rüdiger Trost, Cybersecurity-Experte von WithSecure.
Was versteht man unter digitaler Erpressung?
Die Straftat der digitalen Erpressung hat seit einigen Jahren stark zugenommen. Dies lässt sich auf die zunehmende Digitalisierung sowie auf die immer stärkere und bessere Vernetzung von Unternehmen zurückführen. Cyberkriminelle hacken die Netzwerke und gelangen hierdurch an äußerst sensible Firmendaten. Die Angriffe können bis zur vollständigen Handlungsunfähigkeit des betroffenen Unternehmens führen. Nicht selten sind auch Daten von Partnern oder unter anderem Lieferanten durch den Cyberangriff gefährdet. Für die Kriminellen sind die digitalen Erpressungen ein sehr lukratives Geschäftsmodell, denn um wieder handeln zu können, sind viele Firmen bereit, die geforderten Geldsummen zu bezahlen.
„Wenn sie beispielsweise nicht mehr auf eigene Kundendaten, Rechnungen oder Bestände zugreifen können, dauert es vor allem bei kleinen Unternehmen nicht lang bis zur Insolvenz. Deshalb sind gerade diese Unternehmen oft bereit, die geforderten Lösegeldsummen an die Erpresser zu zahlen, um den Betrieb schnell wieder aufnehmen zu können“, so Matthias Nehls, Gründer der Deutschen Gesellschaft für Cybersicherheit.
Wie gelang „Cronos“ der Schlag gegen die RaaS-Gruppierung?
Den Kriminellen wurde allem Anschein nach eine Codeschmuggel-Lücke zum Verhängnis, die von den Ermittlern genutzt wurde, um die Lockbit-Server anzugreifen. Hierdurch gelang es den internationalen Strafverfolgungsbehörden, in das Netzwerk einzudringen und dieses praktisch lahmzulegen. Insgesamt wurden 34 Server sowie zweihundert Krypto-Brieftaschen sichergestellt. Razzien wurden in Deutschland, Frankreich, Finnland, der Schweiz, den Niederlanden, Australien, den USA sowie dem Vereinigten Königreich durchgeführt. Neben der Beschlagnahmung von weit über hundert Mail-Konten, Websites von Lockbit und Krypto-Geld, gelang den Ermittlern auch der Zugriff auf zahlreiche Schlüsselmaterialien und Werkzeuge. Mit deren Hilfe die Entschlüsselung von den betroffenen gestohlenen Daten möglich ist. Bekannt ist bislang zudem, dass in der Ukraine und in Polen jeweils eine Person verhaftet und gegen zwei russische Staatsbürger Anklage erhoben wurde. Die internationalen Strafverfolgungsbehörden sind jetzt mit der Auswertung der gesammelten Daten beschäftigt. An der Operation „Cronos“ war auch das Landeskriminalamt Schleswig-Holstein beteiligt, da Spuren von Cyberangriffen durch Lockbit nach Deutschland führten. Bei der Deutschen Gesellschaft für Cybersicherheit meldeten sich von der digitalen Erpressung betroffene Unternehmen gemeldet. Einige von den schleswig-holsteinischen Unternehmen kamen den Lösegeldforderungen der Kriminellen nach.
Wie kann man sich vor digitaler Erpressung schützen?
Das Bundeskriminalamt hat auf seiner Website präventive Tipps veröffentlicht, um sich vor digitaler Erpressung bestmöglich zu schützen. Um nicht von entsprechenden Cyberangriffen betroffen zu werden, sollte neben der Verwendung von Antivirenprogrammen unbedingt darauf geachtet werden, Systeme mit Sicherheitsupdates stets auf dem neuesten Stand zu halten. Auch das Öffnen von unbekannten Links oder das Herunterladen von Programmen oder Dateien aus unbekannten Quellen ist zu meiden. Mit einer regelmäßigen Datensicherung kann zudem der Schaden, der durch das Verschlüsseln von Daten entsteht, reduziert werden.
da die E-Mail-Domain meines Mobilfunkanbieters ….de immer noch als aktiv-gehackt behandelt wird, und das vermutlich auch ein Verweis auf den Technologiepartner meines Mobilfunkanbieters offenlegt, gehe ich davon aus daß mein Mobilfunkanbieter eine Art °Fangschaltung° eingerichtet hat, um den Hacker identifizieren zu können. ich hatte die betroffene, von mir nur eingerichtete, aber noch nie selbst benutzte E-Mail-Adresse dieser betroffenen E-Mail-Domain einen Tag gelöscht – da war Ruhe im Karton. als ich die am nächsten Tag wieder eingerichtet hatte, ging das phishen wieder los. und ich bemerkte daß diese Phishing-E-Mails sich ständig AUTOMATISCH im °SPAM-ORDNER° re-integrieren, die erscheinen einfach wieder, obwohl ich den °SPAM-ORDNER° geleert habe. ich bin nun in der Kenntnis von 3 E-Mail-Adressen des Phishing-E-Mail-Absenders. meinen Mobilfunkanbieter habe ich ausführlich über die phisherei in Kenntnis gesetzt. und da diese Phishing-E-Mails in meinem regulären Posteingang eingehen, ist davon auszugehen daß die Absender-E-Mail-Adressen legal-eingerichtet wurden – über einen Domain-Anbieter mit Kennung °tiwtiw.site°. diese Kennung gehört wohl – WENN keine Phishing-Webseite – zu einem Musik-Portal. es gibt eine fast gleich-aussehende Webseite-Domain °tiiw.site°, die dem °arabischen° Raum zugeordnet SCHEINT. alles unter der Voraussetzung benamt daß diese Domains keine Phishing-Webseiten sind.
wenn die Phishing-E-Mails in meinem E-Mail-Posteingang eingehen, und ich diese E-Mail noch nicht geöffnet habe, steht UNTERHALB der Absender-E-Mail-Adresse in eckiger Klammer eine ellenlange URL – in JEDER Phishing-E-Mail. diese liest sich so:
°[http://o738.org/UINQILEHY6rMTAxMzYtNzI1MTM4LTE2MDExNDY4My1vLTMwMS01LT…. .
sobald ich diese Phishing-E-Mail öffne, ist von dieser URL nichts mehr zu sehen. ich habe erkannt daß diese URL eine Identitätsbekanntgabe des Phishing-E-Mail-Absenders ist. ich kann fast jede Buchstabenkombination ein und derselben realen Person zuordnen.
die 3 Phishing-E-Mail-Adressen, die mir nun mittlerweile bekannt sind durch die Phishing-E-Mail-Eingänge sind:
1. gay_roslan_59264@tchecker.us
– auch hier ist ein Code integriert, den ich einer Person zuordnen kann, die mir real bekannt ist – wie auch in den anderen mitgesendeten Codierungen und Phishing-E-Mail-Adressen
2. laraine_sex_90995@tiwtiw.site
3. vasilis_lovatt_65740@tiwtiw.site – das liest sich russisch oder °uk.rain.isch, wie vasili´s.
da eben die E-Mail-Domain meines Mobilfunkanbieters gehackt wurde, habe ich diese betroffene E-Mail-Adresse wieder gelöscht, obwohl ich die noch NIE benutzt habe, um mich bekannt zu machen. übrigens steht die URL-Kennung °http° für einen WLan-Anschluß – einen mobilen Wlan-Anschluß über LTE.
ich habe alle Phishing-E-Mail-Texte screenshotfotografiert und meinem Mobilfunkanbieter gesendet. mehr kann ich nicht zu meinem Eigenschutz tun. zu erwähnen ist noch daß der Fußtext bezüglich der Abmeldung dieses Phishing-Newsletters immer eine Kennung in FL – Florida USA hat.
und wieder sind die russen die Cyberverbrecher. schon bei petya waren die russen die Verbrecher. und wie will FBI, BND, EUOPOL, andere Geheimdienste die bestrafen, wenn und weil put.in alles geschehen läßt, was der Weltbevölkerung angetan wird, solange es nicht gegen put.in und den russenstaat zielgerichtet ist!?