KI-generierte schwarze Katze – das (frühe) Markenzeichen der berüchtigten Cyberkriminellen, die viel Schaden anrichteten und nun schwer getroffen wurden. Bild: watson / bleepingcomputer

Thurgauer Polizei hilft, eine der gefährlichsten russischen Ransomware-Banden zu stoppen

Ermittler haben die berüchtigte Cybercrime-Gruppe ALPHV alias «BlackCat» infiltriert und Teile ihres Netzwerks lahmgelegt. An der internationalen Operation war auch die Kantonspolizei Thurgau beteiligt.

Mehr «Digital»

Die offizielle Anlaufstelle der berüchtigten Ransomware-Bande ALPHV (auch bekannt als «Blackcat») ist von Strafverfolgungsbehörden lahmgelegt worden.

Auf der Darknet-Seite der Bande prangte am Dienstag ein bekanntes Banner: Die US-Bundespolizei FBI informierte über die Beschlagnahmung der Website.

«Diese Website ist beschlagnahmt worden»: Mitteilung auf der Darknet-Seite der mutmasslich aus Russland stammenden Hacker- und Erpresserbande. screenshot: watson

An der internationalen Operation waren das FBI, das US-Justizministerium und mehrere europäische Sicherheitsbehörden beteiligt, darunter die Kantonspolizei Aargau.

Mediensprecher Andy Theler bestätigt:

«Spezialistinnen und Spezialisten der Organisationseinheit Cybercrime bei der Kantonspolizei Thurgau waren involviert in die internationale Ermittlungs-Koordinationsgruppe zum Blackcat-Fall.»

Mehr darf die Thurgauer Kantonspolizei zum aktuellen Zeitpunkt nicht sagen zu den komplexen Ermittlungen, die dem Vernehmen nach immer noch am Laufen sind. Es dürfte sich um einen der bislang grössten Fälle von Ransomware-Kriminalität handeln, wenn nicht den grössten.

Für die internationale Kommunikation zeichnet das Federal Bureau of Investigation (FBI) verantwortlich.

«Mit der Zerschlagung der Ransomware-Gruppe BlackCat hat das Justizministerium wieder einmal die Hacker gehackt.» Lisa O. Monaco,

stellvertretende US-Generalstaatsanwältin

Auf mindestens drei Kontinenten laufen Ermittlungen: in Nordamerika, Europa sowie in Australien.

Beteiligt sind unter anderem auch die National Crime Agency (NCA) in Grossbritannien und die Direktion Staatsschutz und Nachrichtendienst (DSN) in Deutschland, die spanische und österreichische Nationalpolizei, die dänische Spezialeinheit für Kriminalität, aber auch die australische Bundespolizei und als europäische Koordinationsstelle Europol.

Was macht die Operation so speziell?

Das FBI hat gemäss einer ausführlichen Medienmitteilung des US-Justizdepartements ein Entschlüsselungstool entwickelt. Mithilfe der Software soll es den Aussenstellen der US-Bundespolizei und Strafverfolgungsbehörden weltweit möglich sein, mehr als 500 betroffenen Opfern bei der Wiederherstellung von verschlüsselten Daten zu helfen.

Inzwischen habe das FBI mit Dutzenden Betroffenen in den Vereinigten Staaten und auf internationaler Ebene zusammengearbeitet, um diese Lösung zu implementieren. So seien mehrere Opfer vor Lösegeldforderungen in Höhe von insgesamt etwa 68 Millionen Dollar bewahrt worden.

Wie aus einem Durchsuchungsbefehl hervorgeht, der am Dienstag im südlichen Bezirk von Florida veröffentlicht wurde, konnte die US-Bundespolizei im Rahmen der Ermittlungen auch Einblick in das Computernetzwerk der Ransomware-Gruppe erhalten und schliesslich mehrere von der Gruppe betriebene Websites beschlagnahmen.

Im Durchsuchungsbefehl heisst es, dass ein vertraulicher Informant Zugang zur AHV-Infrastruktur erhalten habe. Sprich: Die Ermittler konnten eine Person einschleusen. Und diese Person verschaffte ihnen Zugang zu wichtigen Daten. Konkret: zu den geheimen Schlüsseln, mit denen die Cyberkriminellen die Daten ihrer Opfer jeweils verschlüsselten.

Wie gefährlich ist ALPHV?

ALPHV gehört zu den gefährlichsten und aktivsten Ransomware-Banden weltweit. Sie hat seit 2019 tausende Unternehmen und andere Organisationen attackiert. Die russischsprachigen Hintermänner verfolgten das Geschäftsmodell Ransomware-as-a-Service (RaaS). Das heisst, sie arbeiteten mit Geschäftspartnern (Affiliates) im Westen zusammen.

Die Bande war bis vor wenigen Tagen aktiv. Zuletzt hatte sie unter anderem eine Cyberattacke auf die Deutsche Energie-Agentur (Dena) publik gemacht.

In den letzten 18 Monaten habe sich ALPHV zur zweithäufigsten Raas-Variante der Welt entwickelt, gemessen an den Hunderten Millionen Dollar an Lösegeldern, die Opfer auf der ganzen Welt gezahlt hätten. Wegen des globalen Ausmasses dieser Verbrechen führten Strafverfolgungsbehörden in mehreren Ländern parallele Ermittlungen durch.

Ist ALPHV damit endgültig erledigt?

Das ist nicht klar.

VX Underground, ein auf Malware-Forschung spezialisiertes unabhängiges Online-Projekt, dessen Betreiber über beste Verbindungen in die russischsprachige Cyber-Unterwelt verfügen, hat am Dienstag zum Fall gewittert.

Die Malware-Forscher, die den Kontakt zu den grössten Ransomware-Gruppen pflegen, veröffentlichten einen Ausschnitt aus einem angeblichen Chat mit dem ALPHV-Administrator. Darin wird behauptet, es sei «eine alte Domain» der Bande vom FBI beschlagnahmt worden. Und man habe «die Server und Blogs [an einen anderen Ort] verschoben».

Doch selbst wenn es der Bande gelungen sein sollte, auf einen separaten Server umzuziehen, werde die erhöhte Aufmerksamkeit der Strafverfolgungsbehörden wahrscheinlich die Bereitschaft der kriminellen Mitglieder einschränken, sich der Bande anzuschliessen. Einige Experten spekulieren, dass es sich bei der vermeintlich funktionsfähigen Website um einen vom FBI eingerichteten «Honeypot» handelt.

Die Darknet-Hauptseite der Bande war schon Anfang Dezember offline gegangen und dann während mehreren Tagen nicht mehr erreichbar. Daraufhin verbreiteten sich relativ schnell Gerüchte, dass sie von den Strafverfolgungsbehörden abgeschaltet worden sei. Entsprechende Mutmassungen wurden von der Bande kategorisch dementiert. Doch nun zeigt sich, dass die Cyberkriminellen gelogen haben.