Hackerbande Lockbit: Das gefährlichste Start-up der Welt
- Christian Müßgens, Maximilian Sachse und Gustav Theile

BillionPhotos.com – stock.adobe.com
Hackergruppen funktionieren wie Unternehmen. Es gibt Job-Ausschreibungen, AGBs und Lizenznehmer. Kürzlich wurde eine der größten Banden zerschlagen, die Konkurrenz wirbt um die arbeitslosen Hacker. Marktführer Lockbit wird immer bedrohlicher.
e‑fellows.net präsentiert: Das Beste aus der F.A.Z.
Lies bei uns ausgewählte Artikel aus der Frankfurter Allgemeinen Zeitung, der Frankfurter Allgemeinen Sonntagszeitung und von FAZ.NET.
Monatelang bereitet Jon DiMaggio sich auf die größte Undercover-Mission seines Lebens vor. Der IT-Sicherheitsexperte ist mit gefälschten Profilen in den Foren von Cyber-Kriminellen unterwegs, erarbeitet sich dort Glaubwürdigkeit – und schafft es tatsächlich ins virtuelle Vorstellungsgespräch mit einer der berüchtigtsten Hacker-Banden der Welt: Lockbit.
DiMaggio kann mit Kontakten in die digitale Unterwelt glänzen, ist dort bestens vernetzt, erzählt er im Gespräch mit der F.A.Z. Der Amerikaner schafft es immer weiter im Bewerbungsprozess auf dem Weg zu einem sogenannten "Affiliate", eine Art krimineller Lizenznehmer, der Lockbits Schadsoftware nutzt, um Firmen zu erpressen. Dann muss er einen Einstellungstest bestehen. Der soll belegen, dass Bewerber tatsächlich über Programmierkünste verfügen.
Die Episode zeigt, wie professionell die Erpresserbanden arbeiten. Die Strukturen sind nicht die halbstarker Banden, sondern erinnern an die von Unternehmen (siehe Grafik).
"Hackerbanden sind oft wie Start-ups. Der Gründer macht den Businessplan", sagt Carsten Meywirth, Leiter der Abteilung Cybercrime des Bundeskriminalamts im Gespräch mit der F.A.Z. Der Gründer hat die Idee für die Schadsoftware, sucht sich Mitstreiter, die andere Stärken und Fähigkeiten mitbringen und sich dann etwa um die Finanzen kümmern. "Es gibt Ausschreibungen wie in der realen Welt", sagt Meywirth.
Knallharter Wettbewerb um Marktanteile
Dort werden dann die benötigten Programmiersprachen aufgeführt, manche verlangen Arbeitserfahrung. "Ich würde mich über Menschen mit Erfahrung in der Schadsoftware-Programmierung freuen", heißt es in einer. Und weiter: "Ich suche nicht nach Schulkindern oder Studenten, ich brauche Leute mit Erfahrung." Es gibt hochspezialisierte Hacker, die ihren Preis kennen. Und einen knallharten Wettbewerb um Marktanteile zwischen den Erpresserbanden.
Lockbit ist der Marktführer, die Speerspitze der milliardenschweren Schattenindustrie. Analysten schätzen den Marktanteil der Gruppe auf ein Drittel bis die Hälfte aller öffentlich bekannter Angriffe mit Erpressersoftware, sogenannter Ransomware. Dabei infiltrieren die Angreifer die Systeme von Unternehmen oder Behörden, verschlüsseln möglichst viele und wichtige Daten und verlangen dann Lösegeld für die Rückgabe. Wer nicht zahlt, dessen Daten werden immer öfter auch publiziert.
Das lohnt sich: Experten schätzen, dass Ransomware bis Ende 2023 Schäden in Höhe von 30 Milliarden Dollar verursachen wird. Lockbit habe bisher mehr als 100 Millionen Dollar an Lösegeld verlangt, schätzte das FBI im November. Die Gruppe ist nach Einschätzung von Fachleuten klar die Nummer eins auf dem Markt. Doch Ende Januar gelang einem internationalen Ermittlerteam ein öffentlichkeitswirksamer Schlag gegen die Branche: Der amerikanische Justizminister und der FBI-Chef verkündeten in einer gemeinsamen Pressekonferenz, dass sie die Erpresserbande Hive zerschlagen hätten. Hive war ein wichtiger Wettbewerber von Lockbit, je nach Einschätzung Nummer zwei oder Nummer drei. Die Infrastruktur wurde beschlagnahmt, die Ermittler hatten zudem monatelang mitgelesen.
"Lockbit hat ein riesiges Ego"
Sind die Hacker jetzt eingeschüchtert? Im Gegenteil, meint DiMaggio. Lockbit habe nach dem Ausschalten von Hive öffentlich gejubelt. "Da hieß es: Danke, dass ihr unsere Konkurrenz aus dem Spiel nehmt." DiMaggio ist einer der wenigen, die aus dem innersten Kreis der Bande berichten können. Er hat den Aufnahmetest der Hackerelite zwar nicht bestanden. Doch Lockbit machte einen Fehler: Die Gruppe beließ den IT-Spezialisten in den internen Chaträumen. DiMaggio las monatelang mit, führte sogar einen Schriftwechsel mit dem Anführer der Gruppe und beobachtete das Verhalten aus erster Hand. "Lockbit hat ein riesiges Ego und liebt Drama", sagt DiMaggio. Aber der mutmaßliche Kopf der Bande mit dem Pseudonym "Lockbitsupp", sei vor allem eins: ein cleverer Unternehmer. "Wenn er nicht der Chef von Lockbit wäre, könnte er wahrscheinlich auch ein erfolgreiches Start-up gründen."
Mit dem Schlag gegen Hive verloren viele Hacker, vor allem die sogenannten Affiliates, ihren Arbeitsplatz, wenn man so will. Doch sie kamen schnell woanders unter: "Lockbit und andere Gruppen werben stark um Hive-Affiliates", sagt Meywirth. Diese seien "nicht besonders markentreu." DiMaggio bestätigt die Beobachtungen. Global wird die Zahl der aktiven Hackergruppen auf etwa 150 geschätzt, etwa 25 davon dürften für Deutschland relevant sein. Die Banden sehen eine Chance, die erpressten Beträge, weiter zu steigern. In der legalen Welt würde man von Umsatz reden. Bedenken gab es bei Lockbit dennoch, berichtet DiMaggio: Hält die interne Infrastruktur überhaupt so viele neue Hacker aus? Für Unternehmen aus aller Welt ist die Botschaft klar: Lockbit wird eher noch gefährlicher.
Die Szene, die so viel Unheil anrichtet, ist klein. Die Hive-Gruppierung schätzt ein Cyber-Polizist aus dem schwäbischen Esslingen, der die Ermittlungen zusammen mit dem FBI geleitet hatte, auf ein knappes Dutzend Mitglieder. "Es gibt eigentlich nur eine Handvoll wirklich erfahrene Affiliates, die auf höchstem Niveau arbeiten", sagt DiMaggio. Die Lockbit-Bande taxieren Fachleute auf eine dreistellige Zahl an Tätern.
Eigene Abteilung für Softwareentwicklung
Lockbit ist so etwas wie ein Dienstleister. Die Bande stellt Schadsoftware bereit, kümmert sich um die Infrastruktur, programmiert Benutzeroberflächen, um es den Affiliates einfacher zu machen. Die Partner führen dann die Angriffe aus und verhandeln selbständig mit den Opfern – allerdings über das Chat-System von Lockbit. Am Ende teilen sich beide Seiten die kriminellen Erlöse. Die Gruppe sei auch deshalb so erfolgreich, weil die im Darknet zugängliche Software es erlaube, äußerst schnell und vor allem unkompliziert Attacken durchzuführen, sagt DiMaggio. Dafür sei weniger technisches Wissen nötig als je zuvor. Lockbit entwickelt die Software kontinuierlich in einer eigenen Abteilung weiter.
Lockbit hat seine Wurzeln in einer Gruppe, die im Jahr 2019 erstmals mit der Schadsoftware ABCD in Erscheinung trat, einem Vorläufer des heutigen Erpressungs-Tools. Nach mehreren Änderungen an der Software ist die Gruppe inzwischen unter dem Namen Lockbit 3.0 aktiv. Für Aufsehen sorgten Attacken auf das Beratungsunternehmen Accenture im Jahr 2021 und den Autozulieferer Continental im vergangenen Jahr, von dem Lockbit bis heute 40 Millionen Dollar Lösegeld fordert. Auch die britische Post wurde Opfer eines Überfalls. Tagelang konnten Kunden keine Sendungen ins Ausland schicken. Die meisten Angriffe treffen aber kleine und mittlere Unternehmen, die weit unterhalb der öffentlichen Wahrnehmungsschwelle liegen.
Mit der Öffentlichkeit kommuniziert die Gruppe über einen Blog im Darknet. Dort wirbt sie für sich, nennt Opfer von Überfällen und veröffentlicht private Daten, sofern kein Lösegeld fließt. Tag für Tag kommen neue Unternehmen und Organisationen hinzu, zuletzt etwa ein österreichischer Hersteller von Feuerwehrgeräten, ein belgischer Süßigkeitenproduzent oder ein amerikanisches Geflügelunternehmen. Auch öffentliche Stellen wie eine Polizeistation in Florida oder das Wirtschaftsministerium von Kuwait finden sich auf der Liste.
20 Prozent des Lösegelds gehen an Lockbit
Wer sich dem Partnerprogramm anschließen und Unternehmen erpressen will, muss sich an die "Affiliate Rules" halten, die Lockbit auf dem Blog veröffentlicht. Dort werden die Konditionen dargelegt, zu denen Lizenznehmer die Schadsoftware nutzen können. Allgemeine Geschäftsbedingungen gibt es auch im Darknet. 80 Prozent des Lösegelds können die Partner für sich behalten, 20 Prozent gehen an Lockbit.
Wem das zu viel ist, für den hat die Gruppe gleich einen Vorschlag zur Hand. Der Partner solle sich die "Freude an einer Zusammenarbeit mit uns nicht versagen" und einfach die Lösegeldforderung entsprechend höher ansetzen, so komme er am Ende auf den gleichen Betrag. Über persönliche Konten, sogenannte Wallets, kann der Partner Zahlungen "in jeder beliebigen Währung" erhalten. Besondere Regeln gelten für Beträge von mehr als 500.000 Dollar. Dann setzt Lockbit zwei "Wallets" auf, auf die das Opfer direkt einzahlen muss: Ein Konto für den Lockbit-Anteil, eines für die Affiliates. So will die Bande sicherstellen, dass sie ihren Anteil auch wirklich erhält, und sich vor "Betrug" durch die Partner schützen.
Die Spuren führen nach Russland
In den Hacker-AGB finden sich auch Regeln zu den Angriffszielen: Dort wird es den Hackern untersagt, postsowjetische Länder anzugreifen. Die meisten "unserer Entwickler und Partner" seien in der Sowjetunion, "dem ehemals größten Land der Welt", geboren und aufgewachsen, heißt es zur Begründung. Gleich an zwei Stellen betonen die Hacker aber, man sitze in den Niederlanden. Ob dort tatsächlich ein Knotenpunkt liegt, oder ob das nur eine Nebelkerze ist, lässt sich kaum prüfen. In Sicherheitskreisen ist man sich jedenfalls sicher: Die Spuren führen immer nach Russland. Russische Behörden seien äußerst zurückhaltend, solange die Hacker keine Ziele in Russland angreifen würden. Mitunter brechen die Banden ihre Operationen sofort ab, sobald ihnen eine russische IP-Adresse begegnet.
Dennoch betont Lockbit, man sei "völlig unpolitisch und nur an Geld interessiert". Das deckt sich mit Erkenntnissen aus Sicherheitskreisen: Den meisten geht es nur ums Geld. Wer in Russland lebt und als Programmierer versiert ist, hat zwei Möglichkeiten. In der legalen Wirtschaft verdient er vielleicht ordentlich, große Sprünge macht er in dem Land mit seiner gewaltigen Schere zwischen Arm und Reich aber nicht. Oder er entscheidet sich für eine Karriere als Hacker. Ein Fachmann bringt es auf den Punkt: "Dann ist er nicht mehr Systemadministrator, sondern fährt mit dem Lamborghini durch Moskau."
Wie lassen sich die Hacker stoppen? Der leitende Hive-Ermittler in Esslingen sprach nach der Zerschlagung schon vom "Anfang vom Ende von Ransomware as a Service". Doch längst nicht alle teilen diese Einschätzung. Die meisten Beobachter meinen: Die Branche als Ganzes bleibt von dem Schlag relativ ungerührt. "Jeder einzelne Fehler ist eine Chance für uns", sagt BKA-Ermittler Meywirth. Wenn sie denn Fehler machen.
Manche sehen in der Zerschlagung von Hive ein Vorbild. DiMaggio hält das Vorgehen für die beste Möglichkeit, um auch Lockbit zu stoppen. Am liebsten wäre er selbst dabei, sagt er. Doch dafür haben ihn die Hacker nun wohl zu sehr im Visier. In einem Forum hat Lockbit sogar sein Profilbild geändert – zu DiMaggios Gesicht. "Es war schon ein wenig furchteinflößend, Lockbit war natürlich alles andere als begeistert über meinen Bericht", sagt er.
Alle Rechte vorbehalten. Copyright Frankfurter Allgemeine Zeitung GmbH. Zur Verfügung gestellt vom Frankfurter Allgemeine Archiv.