Lockbit

Lockbit ist eine russischsprachige Gruppe, welche Ransomware-as-a-Service betreibt.^[1]

Die Gruppe wurde erstmals im Jahr 2019 durch eine Schadsoftware namens ABCD bekannt. Seit dem Jahr 2020 gibt es die Ransomware Lockbit, mit der auch ein Affiliate-Programm besteht. Im selben Jahr wurde eine Website geschaltet, über die die Gruppe erbeutete Daten entweder bei Nichtbezahlen geforderter Lösegelder veröffentlicht oder bei Bezahlen aushändigt. Im Juni 2021 wurde Lockbit 2.0 veröffentlicht. Die neue Version enthielt eine Funktion namens StealBit zur Automatisierung von Datenabflüssen. Im Juni 2022 wurde Lockbit 3.0 veröffentlicht, welches ein Bug-Bounty-Programm enthält, von dem Hinweise auf Schwachstellen im verschlüsselten Messenger TOX oder allgemein Schwachstellen bei Tor erwartet werden.^[2][3]

Die größte Attacke von Lockbit bis 2021 war die gegen Accenture. Lockbit konnte im Jahr 2021 sechs Terabyte an Daten von der Beratungsfirma entwenden und stellte eine Forderung von 50 Millionen Dollar. Jedoch konnte Accenture die Daten aus Backups wiederherstellen.^[4][2]

Am 30. Mai 2022 wurde bekannt, dass die Fabriken von Foxconn in Mexiko Opfer einer Lockbit-Attacke wurden und ein Lösegeld gefordert wurde.^[5]

Eine weitere große Attacke gegen den Autozulieferer Continental AG wurde Ende August desselben Jahres bekannt. Dabei drang Anfang Juli 2022 Lockbit in das Netzwerk des Konzerns ein und erbeutete insgesamt 40 TB an Daten. Es wurde vermutet, dass ein Mitarbeiter eine Schadsoftware gestartet hatte, die per Phishing in das Unternehmen gekommen war. Am 4. August 2022 bemerkte Continental den Angriff, entfernte mit Hilfe eines externen IT-Dienstleisters die Schadsoftware und veröffentlichte den Vorfall, wobei betont wurde, der Angriff sei abgewendet worden. Anfang November jedoch veröffentlichte Lockbit einen Screenshot von Lösegeldverhandlungen, nachdem diese offenbar gescheitert waren. Continental bestätigte daraufhin die anhaltende Erpressung. Mitte November kam eine Liste erbeuteter Dateinamen mit 54 Millionen Einträgen im Darknet auf. Lockbit forderte die Zahlung von 40 Millionen Dollar und drohte bei Nichterfüllung mit dem andertweitigen Verkauf der Dateien. In der Liste fanden sich Dateinamen, die darauf hindeuten, dass es sich dabei um Geheimhaltungsabmachungen mit Firmen aus der Automobilbranche handelt. Weitere Dateien könnten den Jahresabschluss oder den Verwaltungsrat zum Thema haben. Auch Dateien zur IT-Administration waren dabei sowie solche zur Gesundheit einzelner Mitarbeiter. Laut Zeit Online wurden Mitarbeiter nur zögerlich über den Vorfall informiert, erst Anfang November wurde allen Mitarbeitern der Vorfall mitgeteilt.^[6]

Im Sommer 2022 wurde die Firma Advanced Computer Software von Lockbit angegriffen. Damit wurden diverse Komponenten des britischen National Health Service ab dem 4. August beeinträchtigt. Vor allem der NHS 111 Service, eine britische Telefonnummer für medizinische Hilfe, war eingeschränkt worden. Die Telefonbearbeiter konnten die Software nicht richtig bedienen und mussten mit Stift und Papier arbeiten. Betroffen waren 16 NHS-111-Abteilungen. Betroffen von der Attacke war die Staffplan- und Caresys-Softwares. Eindringen konnte Lockbit mit Zugangsdaten von einem Drittanbieter und konnte sich weitere Rechte sichern. Dabei wurden auch ein kleiner Teil der Daten heruntergeladen.^[7][8][9]

Im Oktober 2022 konnte Lockbit in das Netzwerk von Pendragon PLC, einem Britischen Autohändler, eindringen und forderte ein Lösegeld. Pendragon ging jedoch nicht auf die Forderung ein und sagte, dass lediglich 5 % der Daten gestohlen wurden.^[10][11]

Lockbit arbeitete im Jahr 2023 an einer Ransomware, um Rechner von Apple anzugreifen. Eine erste Testversion tauchte auf VirusTotal auf. Diese Version war zwar nicht in der Lage, Dateien zu verschlüsseln, zeigte aber die Absicht von Lockbit, zukünftig auch Geräte des Herstellers Apple anzugreifen.^[12]

Im Mai 2023 wurde der russische Hacker Michail Pawlowitsch Matweew (russisch Михаил Павлович Матвеев) von der US-Justiz angeklagt. Der Kriminelle soll unter anderem auch mit Lockbit gearbeitet haben. Da Matweew in Russland lebt, konnte er nicht gefasst werden, aber es wurde ein Kopfgeld auf ihn von bis zu 10 Millionen US-Dollar vom Department of State ausgelobt.^[13]

Im Juni 2023 wurde bekannt, dass Lockbit beziehungsweise ein Affiliate versucht, den taiwanesischen Chiphersteller TSMC um 40 Millionen US-Dollar zu erpressen. Der Affiliate „National Hazard Agency“ griff die Kinmax Technologies an, welche Netzwerktechnik, Hosting und Cloud-Dienste anbietet. Dabei wurden die Daten von TSMC abgegriffen. Einige Tage nach dem Angriff, am 3. Juli, wurden auf dem Upload-Portal Mega 16 Dateien veröffentlicht, um der Forderung Nachdruck zu verleihen.^[14]

Lockbit wurde im August 2022 selbst attackiert, indem Lockbits Server einem DDOS-Angriff ausgesetzt waren. Die Website, auf welcher die Lösegeldforderung veröffentlicht wurde, war nicht zugänglich. Die Server der Seite musste 400 Anfragen pro Sekunde von 1000 Clients bearbeiten und brach dadurch zusammen.^[15]

Am 28. Oktober 2023 gab Lockbit an, den Flugzeughersteller Boeing angegriffen zu haben. Das Unternehmen bestätigte den Angriff am 2. November und teilte mit, dass das Vertriebs­geschäft betroffen sei. Jedoch wollte sich Boeing nicht dazu äußern, wer den Angriff geführt hatte.^[16][17] Die Russische Bande ist erfolgreich in die US Filiale der ICBC eingedrungen. Dies hatte Auswirkungen auf die Liquidität von US-Staatsanleihen. Auch konnten nicht mehr so einfach Daten versandt werden und mussten, um mit der Bank zu kommunizieren, per Kurier über USB-Sticks übertragen werden.^[18] Die Bande konnte auch die Deutsche Energieagentur Dena angreifen. Die Attacke wurde von der Dena am 14. November 2023 veröffentlicht, aber erst im darauffolgenden Dezember wurde bekannt, dass Lockbit sich hinter dieser Attacke befand und ein Lösegeld unbekannter Höhe forderte.^[19]

Am 16. Januar 2024 kam heraus, dass Lockbit die Spanische Gemeinde Calvià angegriffen hat und für die Freigabe der Daten 10 Millionen Euro verlangt.^[20] Auch der Schweizer Baumaschienvermieter Avesco Rent, als Teil der Avesco, wurde im Dezember 2023 Opfer von der Crackingruppe. Avesco Rent nahmen keinen Kontakt mit Lockbit auf und darauf hin landeten Daten des Vermieters Anfang 2024 in Darknet.^[21]

Die NCA, das FBI und Europol haben Im Februar 2024 gemeldet, dass sie Lockbit zerschlagen haben. Auf der Website von Lockbit erscheint ein Hinweis, dass die Website nun unter Kontrolle gebracht habe. Lockbit selber sagte man habe Back-up Server, welche nicht betroffen sind. Beteiligt waren neben den genannten Polizeibehörden auch die Polizei aus Deutschland, Frankreich, Japan, der Schweiz, Kanada, Australien, Schweden, den Niederlanden und Finnland.^[22]

Weblinks[Bearbeiten | Quelltext bearbeiten]

• LockBit: Wie eine der gefährlichsten Ransomware erfolgreich bleibt. 11. August 2023, abgerufen am 15. Januar 2024 (Übersicht von Lockbit aus dem Jahr 2023). 

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Matt Burgess Lily, Hay Newman: The Unrelenting Menace of the LockBit Ransomware Gang. The notorious Russian-speaking cybercriminals grew successful by keeping a low profile. But now they have a target on their backs. In: wired.co.uk. Wired, 24. Januar 2023, abgerufen am 2. Februar 2022 (englisch). 
2. ↑ ^{a b} LockBit. 8. Februar 2022, abgerufen am 20. August 2022 (englisch). 
3. ↑ Dirk Knop: Lockbit-Ransomware-Gruppe stellt sich professioneller auf. Die Erpresserbande hinter der Ransomware Lockbit hebt den Professionalisierungsgrad auf eine neue Stufe. Sogar ein Bug-Bounty-Programm hat sie aufgelegt. Abgerufen am 20. August 2022 (Autorenkürzel dmk). 
4. ↑ Pierluigi Paganini: Accenture discloses data breach after LockBit ransomware attack. IT and consulting giant Accenture confirmed a data breach after the ransomware attack conducted by LockBit operators in August 2021. 15. Oktober 2021, abgerufen am 20. August 2022 (englisch). 
5. ↑ Bill Toulas: Foxconn confirms ransomware attack disrupted production in Mexico. 2. Juni 2022, abgerufen am 2. Juli 2023 (englisch). 
6. ↑ Eva Wolfangel: Wenn die psychischen Probleme der Angestellten im Netz landen. Es geht um 40 Terabyte Daten: Der Autozulieferer Continental wird seit einem Cyberangriff erpresst. Im Netz kursiert nun eine Liste mit Dateinamen – sie sind hochbrisant. In: Zeit Online. Zeit Online GmbH, 2. Dezember 2022, abgerufen am 2. Dezember 2022. 
7. ↑ Claudia Glover: LockBit 3.0 used in ransomware attack on Advanced that knocked out NHS 111 services. Some details of August's attack have emerged, but it is not known if patient data was stolen. 14. Oktober 2022, abgerufen am 2. Juli 2023 (englisch). 
8. ↑ Paul Kunert: Emergency services call-handling provider: Ransomware forced it to pull servers offline. Advanced's infrastructure still down and out, recovery to take weeks or more. 12. August 2022, abgerufen am 2. Juli 2023 (englisch). 
9. ↑ Advanced cyber-attack: NHS doctors' paperwork piles up. 30. August 2022, abgerufen am 2. Juli 2023 (englisch). 
10. ↑ Claudia Glover: LockBit 3.0 demands $60m from UK car dealership Pendragon. LockBit 3.0 has posted leading UK car dealership Pendragon onto its victim blog. The company is refusing to engage in ransom discussions. 25. Oktober 2022, abgerufen am 2. Juli 2023 (englisch). 
11. ↑ Bill Toulas: Pendragon car dealer refuses $60 million LockBit ransomware demand. 25. Oktober 2022, abgerufen am 2. Juli 2023 (englisch). 
12. ↑ Christopher Kunz: Erste LockBit-Version für macOS aufgetaucht. 17. April 2023, abgerufen am 15. April 2023. 
13. ↑ Russian National Charged with Ransomware Attacks Against Critical Infrastructure. Ransomware Attacks Against Law Enforcement Agencies in Washington, D.C. and New Jersey, As Well As Other Victims Worldwide; U.S. Department of State Offers Reward Up to $10M. 16. Mai 2023, abgerufen am 12. Mai 2023 (englisch). 
14. ↑ Daniel Schurter: LockBit erpresst Chiphersteller TSMC und fordert 70 Mio. – das steckt dahinter. Der taiwanische Apple-Zulieferer hat gegenüber watson «einen Cyber-Sicherheitsvorfall bei einem IT-Hardware-Lieferanten» bestätigt. Die Auswirkungen hielten sich aber in Grenzen. In: Watson. 2023, abgerufen am 2. Juli 2023. 
15. ↑ Matthew Gooding: LockBit ransomware group targeted with DDoS attack after Entrust data leak. The prolific cybercrime gang has seen its servers knocked offline in a sustained attack. 22. August 2022, abgerufen am 2. Juli 2023. 
16. ↑ Philipp Anz: Boeing bestätigt Cybervorfall. Betroffen ist laut dem Konzern das Vertriebsgeschäft. Die Ransomware-Bande Lockbit hatte behauptet, im Besitz von sensiblen Daten zu sein. 2. November 2023, abgerufen am 3. November 2023. 
17. ↑ Andrijan Möcker: Lockbit-Angriff: Datendiebstahl bei Boeing. Die Cyberkriminellengruppe Lockbit behauptet, eine riesige Menge schützenswerter Daten von Boeing erbeutet zu haben. Die Konsequenzen könnten weitreichend sein. 29. Oktober 2023, abgerufen am 3. November 2023. 
18. ↑ LockBit hackt weltgrösstes Kreditinstitut – Daten nur noch per USB-Stick übermittelbar. Die russischsprachige Ransomware-Bande LockBit hat erneut in den USA zugeschlagen. Die ICBC-Cyberattacke erschüttert die Finanzwelt. Abgerufen am 15. Dezember 2023. 
19. ↑ Lockbit will Deutsche Energie-Agentur gehackt haben. Nach einem Cyberangriff war die Dena Mitte November "technisch weitgehend arbeitsunfähig". Die Hackergruppe Lockbit fordert nun ein Lösegeld. 13. Dezember 2023, abgerufen am 15. Dezember 2023. 
20. ↑ Cyberpiraten fordern 10 Millionen Euro von der Gemeinde Calvià. 16. Januar 2024, abgerufen am 15. Januar 2024. 
21. ↑ Coen Kaat und msc: Lockbit-Ransomware trifft Schweizer Vermieter von Baumaschinen. 16. Januar 2024, abgerufen am 15. Januar 2024. 
22. ↑ Konstantin Zimmermann: Hackergruppe Lockbit in internationaler Polizeiaktion zerschlagen. Ermittlern von NCA, FBI und Europol ist ein Schlag gegen die kriminelle Gruppe Lockbit gelungen. Diese hatte einige der größten Unternehmen weltweit gehackt. In: Zeit Online. Zeit Online GmbH, 20. Februar 2024, abgerufen am 25. Februar 2024.