STAATLICHE HACKER LEGEN BERüCHTIGTE RANSOMWARE-BANDE LAHM

«Hive» erpresste Ölmultis und Betreiber kritischer Infrastruktur, aber auch MediaMarkt und die Emil Frey AG. Doch nun hat es die mutmasslich aus Russland stammende kriminelle Vereinigung schwer erwischt.

«Wir haben die Hacker mit legalen Mitteln gehackt und den Spiess umgedreht.» //US-Generalstaatsanwältin Lisa Monaco

Die Ransomware-Bande Hive ist von einer konzertierten internationalen Polizeiaktion betroffen: Auf der Leak-Seite der kriminellen Vereinigung prangte am Donnerstag ein Banner, das über die Beschlagnahmung informierte.

Passenderweise wird die Mitteilung auch auf Russisch angezeigt, denn die mutmasslichen Täter dürften laut Sicherheitsexperten aus Russland stammen.

Die europäische Polizeibehörde Europol schreibt in einer Mitteilung, sie habe die deutschen, niederländischen und US-amerikanischen Behörden dabei unterstützt, «die Infrastruktur der produktiven HIVE-Ransomware auszuschalten».

Wie arbeitete Hive?

Seit Juni 2021 seien über 1500 Unternehmen aus über 80 Ländern weltweit Opfer der Bande geworden und hätten fast 100 Millionen Euro an Lösegeldzahlungen verloren. Zu den Attackierten gehörten Betreiber von kritischer Infrastruktur, darunter Regierungseinrichtungen, Telekommunikationsunternehmen sowie Institutionen des Gesundheitswesens.

Der verursachte Schaden bei den betroffenen Unternehmen und öffentlichen Institutionen soll nach Schätzungen der Ermittler «in die Milliarden gehen».

Cybersicherheitsexperten gehen davon aus, dass sich Hive im vergangenen Jahr mit der ebenfalls aus Russland stammenden Ransomware-Bande Conti verbündet hatte.

Bei einem grösseren Angriff zielten Hive-Mitglieder auf ein Spital in den USA ab, was zu schwerwiegenden Auswirkungen auf die Art und Weise geführt habe, wie die Gesundheitsorganisation mit der Corona-Pandemie umgehen konnte. Wegen der Attacke habe die Klinik keine neuen Patientinnen und Patienten mehr aufnehmen können und keinen Zugriff mehr auf die elektronischen Patientendaten gehabt.

Die Hintermänner von Hive hatten sich für das Geschäftsmodell «Ransomware as a Service» (RaaS) entschieden. Das heisst, sie entwickelten Angriffswerkzeuge und stellten kriminellen Dritten – sogenannten Partnern – die IT-Infrastruktur für die Ransomware-Attacken zur Verfügung. Dann kassierten sie 20 Prozent der erzielten Lösegeldeinnahmen.

Die Hive-Ransomware sei auch eingesetzt worden, um Daten und Computersysteme grosser IT- und Ölmultis in der EU und den USA zu kompromittieren und zu verschlüsseln.

Wie war der Schlag möglich und was hats gebracht?

An einer Pressekonferenz sagten US-Justizminister Merrick Garland, FBI-Direktor Christopher Wray und die stellvertretende US-Justizministerin Lisa Monaco, dass es Hackern der Regierung gelungen sei, in das Netzwerk von Hive einzudringen. Sie hätten die Gruppe überwacht und heimlich die digitalen Schlüssel gestohlen, mit denen die Kriminellen die Computer ihrer Opfer verschlüsselten.

In der Folge habe man die Opfer im Voraus warnen können, damit sie Massnahmen zum Schutz ihrer Systeme ergreifen konnten, bevor Hive das Lösegeld einforderte.

Die Strafverfolgungsbehörden stellten laut Europol-Mitteilung einigen kompromittierten Unternehmen den Entschlüsselungsschlüssel («Dekryptor») zur Verfügung, um ihnen zu helfen, ihre Daten zu entschlüsseln, ohne das Lösegeld zu zahlen. Diese Bemühungen hätten die Zahlung von mehr als 130 Millionen US-Dollar oder umgerechnet rund 120 Millionen Euro an Lösegeldzahlungen an die Täter verhindert.

«Seit Juli vergangenen Jahres haben wir mehr als 300 Opfern auf der ganzen Welt geholfen und so Lösegeldzahlungen in Höhe von etwa 130 Millionen US-Dollar verhindert», sagte US-Justizminister Merrick Garland bei einer Pressekonferenz in Washington. Garland bedankte sich bei den internationalen Partnern – insbesondere Deutschland und den Niederlanden - für die grenzübergreifende Zusammenarbeit.

Zu Verhaftungen ist bislang nichts bekannt, die Ermittlungen gehen gemäss den US-Behörden weiter.

Die US-Regierung hat die Öffentlichkeit daran erinnert, dass für Informationen über Cyberkriminelle eine Belohnung von bis zu 10 Millionen US-Dollar ausgesetzt seien.

Was sagen unabhängige Sicherheitsexperten?

Der kanadische Forscher Brett Callow vom IT-Sicherheitsunternehmen Emsisoft sagte zu Reuters, Hive sei «eine der aktivsten Gruppen überhaupt, wenn nicht die aktivste».

Die flüchtigen Hacker würden wahrscheinlich bald wieder unter einem anderem Banden-Namen tätig oder von andere RaaS-Gruppen rekrutiert werden, zitiert Reuters den IT-Sicherheitsexperte Jim Simpson (Searchlight Cyber).

Adam Meyers, Head of Intelligence beim IT-Sicherheitsunternehmen CrowdStrike, sagte:

«Die Beschlagnahmung der Leak-Seite und des Portals für Opferverhandlungen ist ein grosser Rückschlag für die Operationen der Kriminellen. Ohne Zugang zu beiden Seiten müssen die Hive-Mitglieder auf andere Kommunikationsmittel mit ihren Opfern zurückgreifen und alternative Wege finden, um Opferdaten zu veröffentlichen.»

Der Sicherheitsexperte Hüseyin Can Yuceel (Picus Security) erklärte, selbst wenn die Bandenmitglieder identifiziert würden, seien sie möglicherweise nicht in Reichweite der Polizei. Deswegen habe das FBI den nächstbesten Weg gewählt und die Operationen der Gruppe gestoppt.

Ein beschlagnahmter Hive-Server befand sich offenbar in Kalifornien, also im Zuständigkeitsbereich des FBI.

Wer war an der Aktion beteiligt?

Ermittler aus Europa und den USA.

Laut Europol handelte es sich um eine koordinierte Aktion der folgenden nationalen Polizeibehörden:

Die Schweiz wird von Europol nicht aufgeführt.

Quellen

Mit Material der Nachrichtenagentur SDA.

2023-01-26T16:30:47Z dg43tfdfdgfd