Am Dienstag enthüllten US-amerikanische und britische Behörden, dass der Drahtzieher hinter LockBit, einer der produktivsten und schädlichsten Ransomware-Gruppen der Geschichte, ein 31-jähriger Russe namens Dmitry Yuryevich Khoroshev, alias 'LockbitSupp', ist. Wie üblich veröffentlichten die Strafverfolgungsbehörden Bilder von Khoroshev sowie Details über die Operation seiner Gruppe. Das US-Justizministerium erhob gegen Khoroshev Anklage wegen mehrerer Computerstraftaten, Betrugs und Erpressung. Und dabei enthüllten die Behörden auch einige Details über LockBits vergangene Operationen.
Früher in diesem Jahr beschlagnahmten die Behörden die Infrastruktur von LockBit und die Datenbanken der Gruppe, wodurch Schlüsseldetails darüber, wie LockBit funktionierte, enthüllt wurden.
Heute haben wir mehr Details über das, was die Behörden als 'eine massive kriminelle Organisation, die zuweilen als die produktivste und zerstörerischste Ransomware-Gruppe der Welt eingestuft wurde', bezeichnet haben.
Das haben wir aus der Anklage gegen Khoroshev gelernt:
Khoroshev hatte einen zweiten Spitznamen: putinkrab
Der Anführer von LockBit war öffentlich bekannt unter dem nicht sehr einfallsreichen Spitznamen LockBitSupp. Aber Khoroshev hatte auch eine andere Online-Identität: putinkrab. Die Anklage enthält keine Informationen über den Online-Alias, obwohl es den Anschein hat, dass er auf den russischen Präsidenten Wladimir Putin Bezug nimmt. Im Internet gibt es jedoch mehrere Profile mit demselben Benutzernamen auf Flickr, YouTube und Reddit, obwohl unklar ist, ob diese Konten von Khoroshev betrieben wurden.
LockBit traf auch Opfer in Russland
In der Welt der russischen Cyberkriminalität gibt es laut Experten eine heilige, ungeschriebene Regel: Hacke jemanden außerhalb Russlands und die örtlichen Behörden lassen dich in Ruhe. Überraschenderweise setzten Khoroshev und seine Mitverschwörer 'LockBit auch gegen mehrere russische Opfer ein'.
Es bleibt abzuwarten, ob dies dazu führt, dass die russischen Behörden gegen Khoroshev vorgehen, aber zumindest wissen sie jetzt, wer er ist.
Khoroshev behielt seine Partner genau im Blick
Ransomware-Operationen wie LockBit werden als Ransomware-as-a-Service bezeichnet. Das bedeutet, dass es Entwickler gibt, die die Software und die Infrastruktur erstellen, wie Khoroshev, und dann gibt es Partner, die die Software betreiben und einsetzen, Opfer infizieren und Lösegelder erpressen. Die Partner zahlten Khoroshev laut den Behörden rund 20 % ihrer Einnahmen.
Nach Angaben der Anklage ermöglichte dieses Geschäftsmodell es Khoroshev, seine Partner 'eng zu überwachen', einschließlich des Zugangs zu Opferverhandlungen und gelegentlich der Teilnahme daran. Khoroshev 'forderte sogar Identifikationsdokumente von seinen Partner-Mitverschwörern an, die er auch auf seiner Infrastruktur aufbewahrte'. Vermutlich konnten die Strafverfolgungsbehörden so einige der Partner von Lockbit identifizieren.
Khoroshev entwickelte auch ein Tool namens 'StealBit', das das Haupt-Ransomware ergänzte. Mit diesem Tool konnten Partner gestohlene Daten von Opfern auf den Servern von Khoroshev speichern und manchmal auf der offiziellen Darknet-Leak-Site von LockBit veröffentlichen.
Die Lösegeldzahlungen von LockBit beliefen sich auf rund 500 Millionen US-Dollar
LockBit startete im Jahr 2020, und seitdem haben die Partner der Gruppe mindestens etwa 500 Millionen US-Dollar von rund 2.500 Opfern erpresst, darunter 'große multinationale Konzerne bis hin zu kleinen Unternehmen und Einzelpersonen, darunter Krankenhäuser, Schulen, gemeinnützige Organisationen, kritische Infrastruktureinrichtungen sowie Regierungs- und Strafverfolgungsbehörden'.
Abgesehen von den Lösegeldzahlungen 'verursachte LockBit weltweit Schäden in Milliardenhöhe in US-Dollar', da die Gruppe die Geschäftsabläufe der Opfer störte und viele dazu zwang, für Incident Response- und Recovery-Services zu zahlen, behaupteten die Behörden.
Khoroshev nahm Kontakt mit den Behörden auf, um einige seiner Partner zu identifizieren
Wahrscheinlich das Schockierendste der neuesten Enthüllungen: Im Februar, nachdem die Koalition globaler Strafverfolgungsbehörden die Website und Infrastruktur von LockBit abgeschaltet hatte, 'kommunizierte Khoroshev mit den Strafverfolgungsbehörden und bot seine Dienste im Austausch gegen Informationen über die Identität seiner [Ransomware-as-a-Service-]Konkurrenten an'.
Laut der Anklage bat Khoroshev die Strafverfolgungsbehörden, '[g]ebt mir die Namen meiner Feinde'.
