Digital
Ransomware

Hive: Europol legt Infrastruktur von berüchtigter Ransomware-Bande lahm

Deputy Attorney General Lisa Monaco flanked by Attorney General Merrick Garland, left, and Federal Bureau of Investigation (FBI) Director Christopher Wray speaks during a news conference to announce a ...
Am Donnerstag informierte die US-Justiz über einen schweren Schlag gegen Internet-Erpresser. Im Bild: Die stellvertretende US-Generalstaatsanwältin Lisa Monaco, flankiert von Generalstaatsanwalt Merrick Garland, links, und dem Direktor des FBI, Christopher Wray.Bild: keystone

Staatliche Hacker legen berüchtigte Ransomware-Bande lahm

«Hive» erpresste Ölmultis und Betreiber kritischer Infrastruktur, aber auch MediaMarkt und die Emil Frey AG. Doch nun hat es die mutmasslich aus Russland stammende kriminelle Vereinigung schwer erwischt.
26.01.2023, 17:2027.01.2023, 15:58
Mehr «Digital»
«Wir haben die Hacker mit legalen Mitteln gehackt und den Spiess umgedreht.»
US-Generalstaatsanwältin Lisa Monaco

Die Ransomware-Bande Hive ist von einer konzertierten internationalen Polizeiaktion betroffen: Auf der Leak-Seite der kriminellen Vereinigung prangte am Donnerstag ein Banner, das über die Beschlagnahmung informierte.

Auf der Darknet-Seite stehen die Logos des US-Justizministeriums, der US-Bundespolizei FBI, des Secret Service, von Europol, der Polizei Baden-Württemberg und der Cybercrime-Einheit des Bundeskriminal ...
Auf der Darknet-Seite stehen die Logos des US-Justizministeriums, der US-Bundespolizei FBI, des Secret Service, von Europol, der Polizei Baden-Württemberg und der Cybercrime-Einheit des Bundeskriminalamtes (BKA).screenshot: watson

Passenderweise wird die Mitteilung auch auf Russisch angezeigt, denn die mutmasslichen Täter dürften laut Sicherheitsexperten aus Russland stammen.

Die Mitteilung wird auch auf Russisch angezeigt. Ein Server sei in Kalifornien beschlagnahmt worden.
Die Mitteilung wird auch auf Russisch angezeigt. Ein Server sei in Kalifornien beschlagnahmt worden.screenshot: watson

Die europäische Polizeibehörde Europol schreibt in einer Mitteilung, sie habe die deutschen, niederländischen und US-amerikanischen Behörden dabei unterstützt, «die Infrastruktur der produktiven HIVE-Ransomware auszuschalten».

Wie arbeitete Hive?

Seit Juni 2021 seien über 1500 Unternehmen aus über 80 Ländern weltweit Opfer der Bande geworden und hätten fast 100 Millionen Euro an Lösegeldzahlungen verloren. Zu den Attackierten gehörten Betreiber von kritischer Infrastruktur, darunter Regierungseinrichtungen, Telekommunikationsunternehmen sowie Institutionen des Gesundheitswesens.

Der verursachte Schaden bei den betroffenen Unternehmen und öffentlichen Institutionen soll nach Schätzungen der Ermittler «in die Milliarden gehen».

Cybersicherheitsexperten gehen davon aus, dass sich Hive im vergangenen Jahr mit der ebenfalls aus Russland stammenden Ransomware-Bande Conti verbündet hatte.

Bei einem grösseren Angriff zielten Hive-Mitglieder auf ein Spital in den USA ab, was zu schwerwiegenden Auswirkungen auf die Art und Weise geführt habe, wie die Gesundheitsorganisation mit der Corona-Pandemie umgehen konnte. Wegen der Attacke habe die Klinik keine neuen Patientinnen und Patienten mehr aufnehmen können und keinen Zugriff mehr auf die elektronischen Patientendaten gehabt.

Die Hintermänner von Hive hatten sich für das Geschäftsmodell «Ransomware as a Service» (RaaS) entschieden. Das heisst, sie entwickelten Angriffswerkzeuge und stellten kriminellen Dritten – sogenannten Partnern – die IT-Infrastruktur für die Ransomware-Attacken zur Verfügung. Dann kassierten sie 20 Prozent der erzielten Lösegeldeinnahmen.

Die Hive-Ransomware sei auch eingesetzt worden, um Daten und Computersysteme grosser IT- und Ölmultis in der EU und den USA zu kompromittieren und zu verschlüsseln.

Wie war der Schlag möglich und was hats gebracht?

An einer Pressekonferenz sagten US-Justizminister Merrick Garland, FBI-Direktor Christopher Wray und die stellvertretende US-Justizministerin Lisa Monaco, dass es Hackern der Regierung gelungen sei, in das Netzwerk von Hive einzudringen. Sie hätten die Gruppe überwacht und heimlich die digitalen Schlüssel gestohlen, mit denen die Kriminellen die Computer ihrer Opfer verschlüsselten.

In der Folge habe man die Opfer im Voraus warnen können, damit sie Massnahmen zum Schutz ihrer Systeme ergreifen konnten, bevor Hive das Lösegeld einforderte.

Die Strafverfolgungsbehörden stellten laut Europol-Mitteilung einigen kompromittierten Unternehmen den Entschlüsselungsschlüssel («Dekryptor») zur Verfügung, um ihnen zu helfen, ihre Daten zu entschlüsseln, ohne das Lösegeld zu zahlen. Diese Bemühungen hätten die Zahlung von mehr als 130 Millionen US-Dollar oder umgerechnet rund 120 Millionen Euro an Lösegeldzahlungen an die Täter verhindert.

«Seit Juli vergangenen Jahres haben wir mehr als 300 Opfern auf der ganzen Welt geholfen und so Lösegeldzahlungen in Höhe von etwa 130 Millionen US-Dollar verhindert», sagte US-Justizminister Merrick Garland bei einer Pressekonferenz in Washington. Garland bedankte sich bei den internationalen Partnern – insbesondere Deutschland und den Niederlanden - für die grenzübergreifende Zusammenarbeit.

Zu Verhaftungen ist bislang nichts bekannt, die Ermittlungen gehen gemäss den US-Behörden weiter.

Die US-Regierung hat die Öffentlichkeit daran erinnert, dass für Informationen über Cyberkriminelle eine Belohnung von bis zu 10 Millionen US-Dollar ausgesetzt seien.

Was sagen unabhängige Sicherheitsexperten?

Der kanadische Forscher Brett Callow vom IT-Sicherheitsunternehmen Emsisoft sagte zu Reuters, Hive sei «eine der aktivsten Gruppen überhaupt, wenn nicht die aktivste».

Die flüchtigen Hacker würden wahrscheinlich bald wieder unter einem anderem Banden-Namen tätig oder von andere RaaS-Gruppen rekrutiert werden, zitiert Reuters den IT-Sicherheitsexperte Jim Simpson (Searchlight Cyber).

Adam Meyers, Head of Intelligence beim IT-Sicherheitsunternehmen CrowdStrike, sagte:

«Die Beschlagnahmung der Leak-Seite und des Portals für Opferverhandlungen ist ein grosser Rückschlag für die Operationen der Kriminellen. Ohne Zugang zu beiden Seiten müssen die Hive-Mitglieder auf andere Kommunikationsmittel mit ihren Opfern zurückgreifen und alternative Wege finden, um Opferdaten zu veröffentlichen.»

Der Sicherheitsexperte Hüseyin Can Yuceel (Picus Security) erklärte, selbst wenn die Bandenmitglieder identifiziert würden, seien sie möglicherweise nicht in Reichweite der Polizei. Deswegen habe das FBI den nächstbesten Weg gewählt und die Operationen der Gruppe gestoppt.

Ein beschlagnahmter Hive-Server befand sich offenbar in Kalifornien, also im Zuständigkeitsbereich des FBI.

Wer war an der Aktion beteiligt?

Ermittler aus Europa und den USA.

Laut Europol handelte es sich um eine koordinierte Aktion der folgenden nationalen Polizeibehörden:

  • Deutschland: Bundeskriminalamt und Polizeipräsidium Reutlingen – CID Esslingen (Polizei BW)
  • Frankreich: National Police (Police Nationale)
  • Grossbritannien: National Crime Agency
  • Irland: National Police (An Garda Síochána)
  • Kanada: Royal Canadian Mounted Police (RCMP) & Peel Regional Police
  • Litauen: Kriminalpolizei (Kriminalinės Policijos Biuras)
  • Niederlande: Nationale Polizei (Politie)
  • Norwegen: Nationale Polizei (Politiet)
  • Portugal: Kriminalpolizei (Polícia Judiciária)
  • Rumänien: Rumänische Polizei (Poliția Română – DCCO)
  • Schweden: Schwedische Polizei (Polisen)
  • Spanien: Spanische Polizei (Policía Nacional)
  • USA: Secret Service, Federal Bureau of Investigations.

Die Schweiz wird von Europol nicht aufgeführt.

Quellen

Mit Material der Nachrichtenagentur SDA.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die gefährlichsten Cyberwaffen und ihre Folgen
1 / 15
Die gefährlichsten Cyberwaffen und ihre Folgen
Mit der Entdeckung von Stuxnet geriet erstmals eine von staatlichen Hackern entwickelte Cyberwaffe ungewollt in private Hände. Die Schadsoftware war sehr wahrscheinlich von den USA und Israel um 2006 entwickelt worden – auch wenn die beteiligten Verantwortungsträger bis heute schweigen.
Auf Facebook teilenAuf X teilen
Diese viralen Videos waren auf Osama Bin Ladens Computer
Video: watson
Das könnte dich auch noch interessieren:
4 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
4
So reagiert Apple auf die 1,84-Milliarden-Strafe der EU

Musik-Streaming-Anbieter dürfen ihre Nutzer im Europäischen Wirtschaftsraum künftig zwar zu einem Abo-Abschluss ausserhalb des App Stores von Apple leiten. Der iPhone-Konzern will dafür aber eine Gebühr von bis zu 27 Prozent vom Kaufpreis kassieren.

Zur Story