Über 100 neue Leaks: LockBit entfaltet nach Doxxing hektische Aktivität

Viele der vorgeblich neuen Leaks sind alt, ein prominentes Opfer dementiert zudem einen Angriff. Auch von Lockbit kam ein Dementi, jedoch in eigener Sache.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Ransomware im Netzwerk

Ransomware hat sich im Netzwerk ausgebreitet.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 4 Min.

Die Ransomware-Gruppierung LockBit entfaltet nach der medienwirksamen Enttarnung ihres Oberhaupts "LockBitSupp" hektische Aktivitäten. Auf ihrer Darknet-Webseite veröffentlichte die Bande in den vergangenen Tagen Artikel zu mehr als 120 vorgeblich neuen Opfern, offenbar als Antwort auf die Aktionen internationaler Strafverfolgungsbehörden. Zudem streitet der Kopf der Bande ab, von den Ermittlern korrekt identifiziert worden zu sein.

Der morgendliche Blick auf die jüngsten Veröffentlichungen internationaler Ransomware-Gruppen geriet am Brückentags-Freitag zum Marathon: Nicht weniger als 78 auf den 9. Mai datierte Artikel tummelten sich im Lockbit-Blog, obgleich dieser auch in Russland ein Feiertag ist (Tag des Sieges). Auch am 7. und 8. Mai war die Gruppe mit 31 sowie 15 Artikeln überaus aktiv.

Diese hektische Betriebsamkeit dürfte mit den Enthüllungen gegen "LockBitSupp", den Kopf der Bande, zusammenhängen, die in den vergangenen Tagen auf dessen ehemaliger Leaksite erschienen. Nach deren Übernahme durch internationale Ermittler ging die Seite zunächst vom Netz, wurde durch die Behörden aber nun, gleichsam als Darknet-Pressestelle, reaktiviert. Am 7. Mai um 16 Uhr schritten FBI und Co. dann zur Tat und "doxxten" den Ransomware-Operator. Neben seinem Namen veröffentlichte das US-Justizministerium auch eine Anklageschrift, die seine Telefonnummern und E-Mail-Adressen enthielt.

An der Authentizität der nun durch LockBit angeprangerten Opfer gibt es jedoch – wie bereits in den vergangenen Monaten – deutliche Zweifel. Die für gewöhnlich gut informierte Gruppe "VX Underground" äußerte auf dem Kurznachrichtendienst X die Vermutung, es handele sich um Wiederveröffentlichungen, die als Vergeltung gegen die Strafverfolger gedacht seien.

Deutsche Firmen und Institutionen sind ebenfalls unter den veröffentlichten Opfern. So bestätigte Marco Frezzella, der Pressesprecher der Technischen Universität Ilmenau gegenüber heise Security, dass es in der Nacht vom 14. auf den 15. März einen Angriff auf einen, so Frezzella, "sehr begrenzten, dezentralen Bereich des Backupdienstes der TU Ilmenau" gegeben habe. Dieser sei umgehend isoliert worden und man habe der durch LockBit gestellten Lösegeldforderung nicht nachgegeben. Zentrale IT-Services der Universität seien nicht betroffen gewesen, so der Sprecher, der zudem bestätigte, dass alle relevanten Aufsichtsbehörden informiert seien.

Auch die Katholische Jugendfürsorge der Diözese Augsburg hatte am 17.04. ungebetenen Besuch der Ransomware-Bande. Diese habe sich, so die Pflegeorganisation in einer Mitteilung auf ihrer Website, Zugang zum Netz verschafft und Daten kopiert, darunter auch Gesundheitsdaten. Neben der Zentrale der KJF sind mehr als ein Dutzend Unterorganisationen betroffen, auch mehrere Kliniken.

An der ebenfalls auf der LockBit-Leaksite genannten Attacke gegen die Deutsche Telekom ist jedoch nichts dran, wie ein Konzernsprecher gegenüber heise Security bestätigte. "Es gibt keine Anzeichen für einen Angriff auf die Telekom", so Christian Fischer aus dem Presseteam des Unternehmens.

In einem Blogartikel namens "contest.omg" meldet sich zudem der mutmaßlich vor wenigen Tagen enttarnte Kopf der LockBit-Bande zu Wort – wie erwartet mit einem Dementi. Bei dem Russen Dmitry K., der mit internationalen Sanktionen belegt und gegen den in den Vereinigten Staaten Anklage erhoben wurde, handele es sich nicht um LockBitSupp. Dieser lobte seinerseits eine Belohnung von 1000 US-Dollar für die erste Person aus, die erfolgreich Kontakt mit K. aufnehme und dies beweisen könne.

Das Dementi steht jedoch auf tönernen Füßen, denn nicht nur die US-Behörden sind sich ihrer Sache sicher: Auch der Sicherheitsforscher Jon DiMaggio gibt an, dass es sich bei Dmitry K. um den LockBit-Bandenchef handele. Seine eigene Recherche teilt der Amerikaner in einem langen Artikel mit dem Titel "Ransomware Diaries, Volume 5".

(Anmerkung der Redaktion: Obgleich der volle Name, Fotos und weitere identifizierende Informationen über Dmitry K. im Netz kursieren, haben wir uns entschieden, seinen Namen im Rahmen der Verdachtsberichterstattung weiterhin abzukürzen.)

(cku)