Ein russischer und kanadischer Staatsbürger, der mit der LockBit-Ransomware-Operation in Verbindung steht, wurde wegen seiner mutmaßlichen Beteiligung an Angriffen auf kritische Infrastrukturen und große Industriekonzerne weltweit festgenommen.
Mikhail Vasiliev, 33, wurde am 26. Oktober in Ontario, Kanada, nach einer Untersuchung festgenommen, die von der französischen nationalen Gendarmerie mit Hilfe des European Cybercrime Centre von Europol, des FBI und der kanadischen Royal Canadian Mounted Police durchgeführt wurde. Während der Festnahme beschlagnahmte die Polizei laut Europol acht Computer, 32 externe Festplatten und 400.000 Euro in Kryptowährungen.
Die Verhaftung folgt auf eine ähnliche Aktion in der Ukraine im Oktober letzten Jahres, als eine gemeinsame internationale Strafverfolgungsoperation zur Verhaftung von zwei seiner Komplizen führte.
sagt Europol Wassiljew, der als „einer der produktivsten Ransomware-Betreiber der Welt“ beschrieben wird, war aufgrund seiner Beteiligung an zahlreichen hochkarätigen Ransomware-Fällen eines seiner wertvollsten Ziele. Die EU-Polizeibehörde fügte hinzu, er sei dafür bekannt, Opfer mit Lösegeldforderungen zwischen 5 und 70 Millionen Euro zu erpressen.
Eine separate Pressemitteilung des Justizministeriums stellt fest, dass LockBit mindestens 1.000 Opfer in den Vereinigten Staaten gefordert und zig Millionen Dollar an tatsächlichen Lösegeldzahlungen von ihren Opfern erpresst hat.
Vasiliev erwartet seine Auslieferung an die Vereinigten Staaten, wo er der Verschwörung zur vorsätzlichen Beschädigung geschützter Computer und der Übermittlung von Lösegeldforderungen angeklagt ist. Bei einer Verurteilung drohen ihm maximal fünf Jahre Haft.
„Die erfolgreiche Festnahme gestern zeigt unsere Fähigkeit, unerbittlichen Druck gegen unsere Gegner aufrechtzuerhalten und auszuüben“, sagte der stellvertretende FBI-Direktor Paul Abbate. „Die anhaltenden Ermittlungsbemühungen des FBI in enger Zusammenarbeit mit unseren föderalen und internationalen Partnern verdeutlichen unser Engagement, alle unsere Ressourcen einzusetzen, um sicherzustellen, dass wir die amerikanische Öffentlichkeit vor diesen globalen Cyber-Bedrohungsakteuren schützen.“
Konkrete Opfer des mutmaßlichen LockBit-Betreibers wurden von Europol nicht genannt. Die Beteiligung Frankreichs an der Operation deutet jedoch darauf hin, dass er mit einem kürzlichen Angriff auf den französischen Luft-, Raumfahrt- und Verteidigungskonzern Thales in Verbindung gebracht werden könnte.
LockBit, eine prominente Ransomware-Operation, die zuvor Angriffe auf den Technologiehersteller Foxconn, den britischen Gesundheitsdienstleister Advanced und den IT-Riesen Accenture behauptete, fügte Thales am 31. Oktober zu seiner Leak-Site hinzu. Die Gruppe behauptete, heute gestohlene Daten des Unternehmens veröffentlicht zu haben es beschreibt als „sehr empfindlich“ und „hohes Risiko“ in der Natur. Zu den Inhalten des Datenlecks gehören laut LockBit Handelsdokumente, Buchhaltungsdateien und Kundendateien, obwohl die Dateien zum Zeitpunkt der Veröffentlichung noch nicht veröffentlicht waren.
„Was die Kunden betrifft, können Sie sich an die zuständigen Organisationen wenden, um zu erwägen, rechtliche Schritte gegen dieses Unternehmen einzuleiten, das die Regeln der Vertraulichkeit stark missachtet hat“, heißt es in einer Nachricht auf der LockBit-Leckseite.
Der Sprecher von Thales, Cedric Leurquin, antwortete nicht sofort auf unsere Bitte um Stellungnahme.
LockBit behauptet auch, heute 40 Terabyte an Daten geleakt zu haben, die vom deutschen Automobilgiganten Continental gestohlen wurden, und Proben der Daten deuten darauf hin, dass die Bande auf technische Dokumente und Quellcode zugegriffen hat. Obwohl eine Lösegeldforderung nicht ausdrücklich angegeben wurde, behauptet die Leak-Seite der Ransomware-Bande, für 50 Millionen US-Dollar Zugriff auf die gesamte Tranche gestohlener Daten zu bieten.
Continental-Sprecher Marc Siedler sagte gegenüber Tech, dass die Untersuchung des Unternehmens zu dem Vorfall ergeben habe, dass „Angreifer auch einige Daten aus den betroffenen IT-Systemen stehlen konnten“, weigerte sich jedoch zu sagen, welche Arten von Daten gestohlen wurden oder wie viele Kunden und Mitarbeiter es waren betroffen.