Wie die gefährlichste Cybergang der Welt zu Fall gebracht wurde
Der Autozulieferer Continental, die Unternehmensberater von Accenture, der Flugzeughersteller Boeing, die britische Royal Mail und Ende Jänner auch das Wifi Niederösterreich. Sie alle wurden Opfer der Lockbit-Gruppe. Die Cyberkriminellen, die seit 2019 aktiv sind, waren der weltweit größte Player im Geschäft mit erpresserischer Software, sogenannter Ransomware.
Am Dienstag gaben Sicherheitsbehörden aus 10 Ländern, darunter die britische National Crime Agency (NCA), das FBI und Europol die Zerschlagung der Gruppe im Rahmen der „Operation Cronos“ bekannt.
Insgesamt wurden in 8 Ländern 34 Server beschlagnahmt. Mehr als 200 Kryptowährungskonten wurden eingefroren. 2 Mitglieder der Gang wurden in Polen und der Ukraine verhaftet. In den USA wurden 2 russische Staatsbürger wegen der Angriffe angeklagt. Der von den Cyberkriminellen verursachte Schaden soll laut den Ermittlern in die Milliarden gehen.
Die weltweit agierende Tätergruppe „Lockbit“ hatte es auch auf mehrere Ziele in Niederösterreich abgesehen. Wie berichtet, waren die Therme Laa, das Rathaus Korneuburg sowie das WIFI Niederösterreich in der jüngeren Vergangenheit von Cyberattacken betroffen.
„Heute Nacht hat diese internationale Aktion stattgefunden, auch unter Einbindung unseres Bundeskriminalamts“, sagte Innenminister Gerhard Karner (ÖVP) zu dem Ermittlungserfolg gegen die Cybergang am Dienstagabend.
Die Schäden, die der Angriff verursachte, zeigen noch Nachwirkungen. „Aktuell ist die Stadtgemeinde Korneuburg immer noch nicht da, wo wir vor dem Angriff waren, aber wir können rund zwei Drittel unserer PCs und unserer Server mittlerweile bedienen, die sind entschlüsselt worden“, so Korneuburgs Bürgermeister Christian Gepp (ÖVP).
Wie bei solchen Angriffen üblich wurde auch bei den niederösterreichischen Opfern Lösegeld gefordert. Im Rathaus Korneuburg kam man dieser Forderung jedoch nicht nach.
Lockbit war auf Angriffe spezialisiert, bei denen Unternehmensnetzwerke mit Schadsoftware infiziert werden. Die Daten werden verschlüsselt und abgesaugt. Wollen die angegriffenen Firmen wieder auf ihre Netzwerke zugreifen oder eine Veröffentlichung sensibler Daten verhindern, müssen sie Lösegeld bezahlen. Lockbit verlieh seinen Forderungen gerne auch mit zusätzlichen Attacken auf die Firmenserver Nachdruck.
Die Infrastruktur stehe unter der Kontrolle der Strafverfolgungsbehörden, teilte Europol am Dienstag mit. Ob Lockbit tatsächlich ausgeschaltet ist bzw. wie nachhaltig der Schlag war, wird sich weisen. Das hänge davon ab, wie viel von der Infrastruktur der Gruppe tatsächlich in die Hände der Behörden gefallen ist, heißt es aus der Cybersicherheitsstelle Cert.at.
Wenn es noch Back-up-Server gebe, auf die nicht zugegriffen werden konnte, sei es gut möglich, dass es die Gruppe schnell schaffe, den Betrieb wieder aufzunehmen. Unklar ist, ob es gelungen ist, an die Schlüssel für verschlüsselte Unternehmensdaten zu kommen. „Es werden ein paar Leute untertauchen und bei anderen Gruppen wieder auftauchen“, vermutet Rüdiger Trost, Security Consultant beim Cybersicherheitsunternehmen WithSecure.
Marktführer
Rund ein Viertel aller Vorfälle mit erpresserischer Software aus dem heurigen Jahr könne auf die Lockbit-Gruppe zurückgeführt werden, sagt Trost. Neben Lockbit zählen etwa auch Alphv/BlackCat, das vor 2 Jahren die IT-Systeme des Landes Kärnten lahmlegte, Clop, Royal oder Black Basta zu den Branchengrößen. Die Jahresumsätze der großen Gruppen belaufen sich auf mehrere Hundert Millionen Euro, schätzt Trost.
Organisiert sind sie wie Unternehmen. Sie haben Angestellte, die - wie Leaks aus solchen Gruppen zeigen - Urlaub beantragen und von Personalabteilungen rekrutiert werden. Schadsoftware, aber auch technische Lösungen für Lösegeldverhandlungen, das Speichern der extrahierten Daten oder Support-Dienstleistungen für Opfer - auch über eigene Call Center - werden Partnern je nach Bedarf im Paket oder einzeln angeboten. „Die Gruppe stellt die Infrastruktur für die Attacken bereit“, sagt Trost.
Ihren Sitz gab die Gang auf einschlägigen Webseiten mit den Niederlanden an. Ihre Ursprünge werden aber in Russland vermutet. Auch weil die Lockbit-Schadsoftware zuerst in russischsprachigen Foren auftauchte.
Bei Unternehmen sind es meist menschliche Fehler, die dazu führen, dass Hacker Zugang zu Netzwerken bekommen. Zu den Passwörtern kommen sie meist über Phishing-Attacken, bei denen Mitarbeiter die Zugangsdaten offenlegen. Bei der österreichischen Cybersicherheitsstelle Cert.at legt man Firmen deshalb Schulungen für Mitarbeiter nahe. „Nicht einmal alle drei Jahre, sondern zumindest einmal im Jahr“, wie es gegenüber dem KURIER heißt. Mitarbeiter sollten auch dazu animiert werden, wenn sie auf Phishing-Links klicken, dies umgehend zu melden, damit darauf reagiert werden könne.
Von außen erreichbare Netzwerke in Firmen sollten auch flächendeckend mit Multifaktor-Authentifizierung abgesichert werden, etwa durch das Scannen eines Fingerabdrucks. Auch sollte darauf geachtet werden, dass Aktualisierungen für Programme schnell eingespielt werden. Es helfe nichts, wenn man sich teure Lösungen einkaufe und sie dann nicht betreue, sagen die Cybersicherheitsexperten.
Auswahl selten zielgerichtet
Ausgesucht werden die Opfer bei solchen Ransomware-Angriffen selten zielgerichtet. Wo sich eine Möglichkeit ergibt, wird zugeschlagen. Im Darknet gekaufte Zugangsdaten öffnen ebenso die Tür zu Firmennetzwerken wie Phishing-Kampagnen, bei denen Mitarbeiter Passwörter entlockt werden. Oft sind es auch Schwachstellen in Programmen, die es den Kriminellen ermöglichen, in Unternehmensnetze einzudringen.
Ironischerweise dürfte die Lockbit-Gang selbst einer solchen Schwachstelle zum Opfer gefallen sein. Gerüchten zufolge nutzen die internationalen Strafverfolgungsbehörden eine Sicherheitslücke der Skriptsprache PHP aus, um auf die Server der Gang zuzugreifen.
Kommentare