Die Internetkriminellen der Gruppe Lockbit beanspruchen den Lösegeldangriff auf die chinesische Industrie- und Handelsbank für sich. Seit 2019 hat sich die Gruppe einen Namen gemacht, indem sie hochrangige Institutionen angreift und dabei Hunderte von Millionen Dollar erbeutet. Da die Gruppe immer noch auf freiem Fuß ist, fragen sich viele, was ihre Beweggründe sind, und wer der Nächste sein wird.
Reed McIntire
29. Dezember 2023
Arabic version | Chinese version | English version | Spanish version
Die Internetkriminelle Gruppe Lockbit hat sich für den Lösegeldangriff auf die chinesische Industrie- und Handelsbank (ICBC), ein weltweit führendes Kreditinstitut, verantwortlich genannt. Obwohl die ICBC durch die Zahlung eines Lösegelds in nicht genannter Höhe schnell wieder die Kontrolle über ihre Systeme erlangte, hat der Angriff viele Sorgen über zukünftige ähnliche Vorfälle aufkommen lassen. Die Gruppe, die 2019 erstmals in Erscheinung trat, hat sich mit ihren weit verbreiteten Cyberangriffen auf hochrangige Ziele schnell einen Namen gemacht.
Der Name Lockbit bezieht sich sowohl auf die Gruppe als auch auf die Erpressersoftware, für die sie bekannt geworden ist. Unter Ransomware versteht man eine bestimmte Art von Schadsoftware, die dazu verwendet wird, Systeme zu infizieren und die Hauptnutzer auszusperren, wenn bestimmte Forderungen nicht erfüllt werden. Diese Angriffe werden häufig durch „Phishing-Versuche“ initiiert, bei denen ein Link oder eine Datei an ein System gesendet und von einem unwissenden Benutzer geöffnet wird, wodurch der Virus in das System gelangen kann. Lockbit hat seine eigene Version dieser Malware entwickelt und verkauft sie auch an andere böswillige Akteure im so genannten „Dark Web“. Lockbit zählt zu den beliebtesten Ransomware-Programmen und wurde im vergangenen Jahr bei schätzungsweise 28% aller Lösegeldangriffe eingesetzt.
Zunehmend bieten Gruppen wie Lockbit ihre Dienste auch anderen Organisationen an. Diese „Ransomware-as-a-Service“ (Raas) macht die Sache noch komplizierter und die Motivationen und Identitäten noch undurchsichtiger. Viele der bekannt gewordenen Angriffe wurden jedoch von Lockbit selbst durchgeführt.
Gegenwärtig hat es die Gruppe auf äußerst prominente Institutionen und Unternehmen abgesehen. Die britische Royal Post und das britische Verteidigungsministerium, das Unternehmen Boeing und der japanische Hersteller Shimano gehören zu den prominentesten Opfern, aber die Gruppe hat auch 2000 Privatpersonen in den USA ins Visier genommen. In der Regel fordert die Gruppe Geld als Gegenleistung für die Systemkontrolle und die Daten der Opfer. Diese Forderungen haben Lockbit allein in den Vereinigten Staaten mehr als 100 Millionen Dollar eingebracht, wie US-Banken berichteten.
Die ICBC hat ihre Systeme inzwischen von der Lockbit-Malware befreit, aber die Bedrohung bleibt für viele andere bestehen. Seltsamerweise richtete sich der Angriff nur gegen die US-Filiale der Bank, während die anderen Filialen nicht betroffen waren. Ob dies einen politischen Grund hat, ist unklar. Im Juni erhob das US-Justizministerium Anklage gegen einen russischen Staatsbürger wegen mutmaßlicher Verbindungen zu Lockbit-Angriffen in aller Welt. Die Gruppe bleibt jedoch unbeeindruckt, und ihr dezentraler Charakter macht es den Strafverfolgungsbehörden schwer, zu handeln.
Die Lockbit-Gruppe bleibt für die Öffentlichkeit ein Rätsel. Es heißt, sie stamme aus postsowjetischen Ländern in Osteuropa. Laut ihrer eigenen Website sind sie in den Niederlanden ansässig sind. Bisher waren ihre Angriffe nicht offenkundig politisch motiviert, und sie haben sich nie zu einem Staat oder einer Ideologie bekannt.
Auf ihrer Website werden auch bestimmte potenzielle Ziele als verboten definiert, z. B. kritische Infrastrukturen, Einrichtungen, deren Beeinträchtigung zum Tod führen könnte, und ehemalige Ostblockstaaten wie Russland, Litauen oder Moldawien. Diese Maßnahmen verhindern jedoch nicht vollständig, dass Schaden angerichtet wird. Anfang dieses Jahres wurde ein kanadisches Kinderkrankenhaus Opfer der Gruppe, doch Lockbit entschuldigte sich anschließend und veröffentlichte Entschlüsselungstools sowie die Behauptung, das für den Angriff verantwortliche Mitglied entfernt zu haben.
Da Lockbit noch immer auf freiem Fuß ist, raten Cybersicherheitsexperten zu sicheren Passwörtern, Kontoverwaltung und Netzwerküberwachung, um das Risiko von Cyberkriminalität zu minimieren. Durch die Erhöhung der Sicherheit können Schäden durch Schadsoftware minimiert oder möglicherweise sogar vermieden werden.
Das Geschäftsmodell von Lockbit ist lukrativ und effektiv. Mit dem zunehmenden Erfolg der RAAS profitieren auch andere Akteure im Dark Web von diesem millionenschweren kriminellen Unternehmen. Die Öffentlichkeit und die Behörden fragen sich, wer das nächste Ziel sein wird.