LockBit-Drohung mit Leak zu Verfahren gegen Donald Trump als letzter Bluff?

Vorige Woche gelang Behörden ein schwerer Schlag gegen die LockBit-Gangster. Die erpressten aber weiter. In einem Fall wurde das wohl als Bluff enttarnt.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Mann an Laptop, unscharf hinter einer Folie

(Bild: Daniel Beckemeier/Shutterstock.com)

Lesezeit: 4 Min.

Das Hin und Her um eine angedrohte Freigabe von Dokumenten, die "die anstehenden US-Wahlen beeinflussen könnte", deutet darauf hin, dass die Cybercrime-Bande LockBit von dem jüngsten Schlag durch Strafverfolgungsbehörden härter getroffen wurde, als behauptet. So sieht es nicht nur der US-Sicherheitsforscher Brian Krebs, der die jüngsten Entwicklungen zusammengefasst hat.

Demnach haben die Cyberkriminellen angedroht, Dokumente der Stadt Atlanta im US-Bundesstaat Georgia zu veröffentlichen, darunter auch welche zu dem dort laufenden Gerichtsverfahren gegen Ex-Präsident Donald Trump. Kurz vor Ablauf der Frist wurde die Drohung zurückgenommen. Von staatlicher Seite wurde dann aber versichert, dass kein Lösegeld bezahlt wurde.

Das etwa einem deutschen Landkreis entsprechende County, in dem die Metropole Atlanta liegt, war schon vor Wochen Opfer von LockBit geworden. Auf der Internetseite des Fulton County heißt es seitdem, dass man unter einem "unerwarteten IT-Ausfall" leide, der verschiedene Systeme betreffe. Ziel des Ransomware-Angriffs war unter anderem auch das dortige Landgericht, wo ein Verfahren mit potenziell weitreichenden Konsequenzen gegen Donald Trump läuft. Darin geht es um den Vorwurf der versuchten Wahlbeeinflussung in dem Bundesstaat. Die Cyberkriminellen haben dann auch eine kleine Auswahl an Gerichtsdokumenten veröffentlicht, um den Druck auf die Behörden zu erhöhen. Dann wurde aber am 19. Februar in einer großangelegten Aktion die Infrastruktur von LockBit ausgehoben, es gab mehrere Festnahmen.

Nach der Beschlagnahmung dutzender Server hat sich die Gruppe mit einem vor Verachtung für die Strafverfolgungsbehörden nur so triefenden Dokument zurückgemeldet. Darin war auch darüber spekuliert worden, dass es einen Zusammenhang zu dem Verfahren gegen Trump geben könnte. Die Gruppe behauptete, weiterhin im Besitz der Dokumente aus dem Fulton County zu sein und drohte mit der Veröffentlichung. Die Frist war erst auf den 1. März gesetzt und dann auf den 29. Februar vorgezogen worden, am Donnerstag verschwand die Drohung einfach. Brian Krebs zitiert einen der Kriminellen mit der Behauptung, dass das Lösegeld gezahlt worden sei. Die Entfernung der Drohung sei der Beweis dafür.

Nur Stunden später versicherte aber der Vorsitzende der County Commission, dass kein Geld gezahlt worden sei und die nächsten Spekulationen wurden laut. Krebs meint, dass die Behörden den Bluff der Cybergangster durchschaut hätten. Auch andere Experten geben sich überzeugt, dass die nach der Beschlagnahmung der Server gemachten Drohungen ein Täuschungsmanöver seien. Damit wollte die Gruppe wohl vor allem gegenüber Cyberkriminellen das Gesicht wahren und den Eindruck untermauern, besonders gewieft zu sein. Brett Callow, ein Analyst von Emsisoft, meint gegenüber Brian Krebs, dass LockBit offenbar alle erbeuteten Daten verloren hat: "Ich gehe stark davon aus, dass das das Ende der Marke Lockbit ist."

LockBit war bis zuletzt die mit Abstand größte Ransomware-as-a-Service-Gruppe. Das heißt, sie haben ihre Ransomware als Dienstleistung an andere Kriminelle vermietet und wurden an deren Einnahmen beteiligt. Einer Analyse des Sicherheitsunternehmens F-Secure zufolge gingen im vergangenen Jahr über 20 Prozent aller Ransomware-Angriffe aufs Konto der Bande und ihrer Handlanger ("Affiliates"). Der Zweitplazierte "Clop" führte nur 10 Prozent der Gesamtangriffe durch. Die Kriminellen haben in ihrer fünfjährigen Laufbahn Hunderte Millionen US-Dollar Lösegeld gefordert und 120 Millionen eingenommen. Dabei hatten sie zuletzt strenge Regeln für Verhandlungen mit Opfern angelegt, um Umsatzeinbußen durch hohe Lösegeld-Rabatte zu vermeiden.

Update

Informationen zu dem Verfahren ergänzt.

(mho)