Die britische National Crime Agency (NCA) hat bestätigt, dass sie den Quellcode von LockBit sowie Informationen über die Aktivitäten und deren Partner im Rahmen einer speziell eingerichteten Task Force namens Operation Cronos erhalten hat. Einige der Daten, die auf den Systemen von LockBit gefunden wurden, gehörten Opfern, die ein Lösegeld an die Angreifer gezahlt hatten. Dies zeigt, dass auch wenn ein Lösegeld gezahlt wird, nicht garantiert ist, dass die Daten gelöscht werden, trotz der Versprechen der Kriminellen. Die Agentur hat außerdem die Festnahme von zwei LockBit-Akteuren in Polen und der Ukraine bekannt gegeben. Über 200 mit der Gruppe verknüpfte Kryptowährungskonten wurden eingefroren. Anklagen wurden auch in den USA gegen zwei weitere russische Staatsangehörige erhoben, die LockBit-Angriffe durchgeführt haben sollen.
Artur Sungatov und Ivan Gennadievich Kondratiev (aka Bassterlord) wurden beschuldigt, LockBit gegen zahlreiche Opfer in den USA einzusetzen, darunter Unternehmen in der gesamten Fertigungsindustrie und anderen Branchen, sowie Opfer weltweit in der Halbleiterindustrie und anderen Branchen. Kondratyev wurde auch mit drei Straftaten angeklagt, die sich aus seinem Einsatz der Sodinokibi- oder REvil-Ransomware-Variante ergeben haben, um Daten zu verschlüsseln, Opferinformationen zu exfiltrieren und ein Lösegeld von einem Unternehmensopfer in Alameda County, Kalifornien, zu erpressen.
Die Maßnahmen erfolgen im Anschluss an eine internationale Kampagne zur Störung von LockBit, die von der NCA als „weltweit schädlichste Cyberkriminalitätsgruppe“ bezeichnet wurde. Im Rahmen der Bemühungen zur Beendigung der Gruppe hat die Agentur die Dienste von LockBit übernommen und in ihr gesamtes kriminelles Unternehmen eingedrungen. Dies umfasst auch die Verwaltungsumgebung, die von Partnern genutzt wird, sowie die öffentlich zugängliche Leak-Site im Darknet. Darüber hinaus wurden 34 Server von LockBit-Partnern demontiert und über 1.000 Entschlüsselungsschlüssel von beschlagnahmten LockBit-Servern wiederhergestellt.
LockBit betreibt seit Ende 2019 ein Ransomware-as-a-Service (RaaS)-Schema, bei dem die Verschlüsseler an Partner lizenziert werden, die im Austausch für einen Teil der Lösegeldzahlung die Angriffe durchführen. Die Angriffe folgen einer Taktik namens Double Extortion, bei der sensible Daten gestohlen werden, bevor sie verschlüsselt werden, wobei Druck auf die Opfer ausgeübt wird, um eine Zahlung zu leisten und ihre Daten vor der Veröffentlichung zu schützen.
Die Datenentwendung wird durch ein spezielles Tool namens StealBit erleichtert. Die für die Organisation und Übertragung der Opferdaten verwendete Infrastruktur wurde von Behörden aus drei Ländern, darunter den USA, beschlagnahmt. LockBit-Angriffe sollen mehr als 2.500 Opfer auf der ganzen Welt betroffen haben und illegale Gewinne von über 120 Millionen US-Dollar eingebracht haben. Ein Entschlüsselungstool wurde über No More Ransom verfügbar gemacht, um verschlüsselte Dateien kostenlos wiederherzustellen. Die Direktorin der NCA, Graeme Biggar, erklärte, dass sie durch die enge Zusammenarbeit mit den Behörden die Infrastruktur der Hacker übernommen, ihren Quellcode beschlagnahmt und Schlüssel erhalten haben, die Opfern helfen, ihre Systeme zu entschlüsseln. LockBit sei nun ausgesperrt und deren Glaubwürdigkeit beschädigt.