Für die russischsprachigen Ransomware-Banden, die mit ihren Attacken grossen Schaden anrichten, kam es diese Woche knüppeldick: Gleich zwei aktive Gruppierungen mussten massive Rückschläge hinnehmen. Hier erfährst du alles Wichtige zu den aussergewöhnlichen Ereignissen.
Die Hacktivistengruppe «Ukrainian Cyber Alliance» hat der russischsprachigen Ransomware-Bande Trigona einen schweren Schlag versetzt: Die technisch versierten Hacker nutzten eine Sicherheitslücke in einer Server-Software, um das Darknet-Portal der Cyberkriminellen zu kapern.
Die Hacktivisten kopierten gemäss eigenen Angaben unbemerkt alle gespeicherten Daten, bevor sie diese löschten. Dann versahen sie die Startseite mit einer speziellen «Begrüssung», die sich an die Internet-Erpresser richtete.
Die in einschlägigen Kreisen bekannten Darknet-Webadressen mit dem Kürzel «.onion» sind seit Kurzem nicht mehr über das Anonymisierungs-Netzwerk Tor erreichbar.
Trigona zählt zu den Banden, deren Geschäftsmodell als «Ransomware as a Service» (RaaS) bezeichnet wird. Die Cyberkriminellen boten ihre IT-Infrastruktur Dritten gegen Bezahlung an, um Opfer zu hacken und zu erpressen.
Die gleichnamige Verschlüsselungs-Software ist seit Juni 2022 bekannt. Es handelte sich also um eine relativ junge Bande, wobei nicht auszuschliessen ist, dass die Mitglieder der Bande auch unter anderen Namen aktiv waren.
Gemäss den Angaben auf der Darknet-Seite stammten die meisten betroffenen Unternehmen aus den USA, aber auch in Europa wurden mehrere Organisationen gehackt und an den Pranger gestellt, weil sie nicht bezahlten. Zu Schweizer Opfern von Trigona ist watson bislang nichts bekannt.
Die pro-ukrainischen Hacktivisten liessen bei X verlauten, dass sie die Daten der Ransomware-Bande zunächst selber auswerten wollen. Laut Bleeping Computer könnten sie anschliessend an Strafverfolgungsbehörden weitergegeben werden.
Zu den angeblich erbeuteten Daten gehörten die Entwicklerumgebung samt Schadsoftware-Quellcode, Kryptowährungs-Konten und Datenbankeinträge, wie ein Mitglied der ukrainischen Cyber Alliance bei X verlauten liess.
Der Schock muss tief gesessen haben bei den gehackten Cyberkriminellen: Als sie schliesslich die Eindringlinge in ihrem IT-System bemerkten, hätten sie noch verzweifelt versucht, die Passwörter zu ändern. Ohne Erfolg.
Inzwischen ist in einem russischen Hacker-Forum ein Posting veröffentlicht worden, das den Angriff bestätigt. Der Trigona-Administrator behauptet, die Bande werde schon in wenigen Tagen eine neue Infrastruktur in Betrieb nehmen.
Und damit kommen wir zu einer anderen, noch gefährlicheren Ransomware-Bande, die in dieser Woche einen verheerenden Rückschlag hinnehmen musste ...
Die Darknet-Infrastruktur der russischsprachigen Ransomware-Bande Ragnar Locker ist im Rahmen einer internationalen Strafverfolgungsoperation beschlagnahmt und ein mutmasslicher Hauptverantwortlicher von der Polizei verhaftet worden, wie Europol am Freitag mitteilte.
Laut Europol-Mitteilung wurden in einer koordinierten Aktion zwischen dem 16. und 20. Oktober Durchsuchungen in Tschechien, Spanien und Lettland durchgeführt. Das «Hauptziel», ein IT-Entwickler, sei in Paris, Frankreich, verhaftet, und seine Wohnung in Tschechien durchsucht worden. In den darauffolgenden Tagen seien ausserdem fünf Verdächtige in Spanien und Lettland von Ermittlern befragt worden.
Die Infrastruktur der Ransomware-Bande sei auch in den Niederlanden, Deutschland und Schweden beschlagnahmt worden und die zugehörige Tor-Webseite für die Datenlecks sei in Schweden abgeschaltet worden.
Diese internationale Razzia sei «das Ergebnis komplexer Ermittlungen», die von der französischen Gendarmerie in Zusammenarbeit mit Strafverfolgungsbehörden aus Deutschland, Italien, Japan, Lettland, den Niederlanden, Schweden, Spanien, der Ukraine, der Tschechischen Republik und den USA durchgeführt wurden.
Bereits im Oktober 2021 seien Ermittler der französischen Gendarmerie und der US-Bundespolizei FBI mit Spezialisten von Europol und Interpol in die Ukraine entsandt worden. Sie führten laut Mitteilung mit der ukrainischen Nationalpolizei Ermittlungen durch, die zur Verhaftung von zwei prominenten Ragnar-Locker-Betreibern führten. Die Ermittlungen seien seitdem fortgesetzt worden und führten diese Woche zu den Verhaftungen und Beschlagnahmungen.
Ragnar Locker gilt als eine der am längsten aktiven Ransomware-Banden der Welt. Die Gruppe hat sich seit 2019 vor allem mit Cyberangriffen gegen Betreibergesellschaften von kritischer Infrastruktur einen Namen gemacht und gilt als eine Vorreiterin des sogenannten «Big Game Hunting»: Das heisst, die Cyberkriminellen attackierten bevorzugt zahlungskräftige Grossunternehmen und stahlen wertvolle Daten.
Mit ihren Angriffswerkzeugen zielten die Hacker auf Rechner mit Microsoft-Windows-Betriebssystemen ab und sie nutzten in der Regel Online-Dienste wie das «Remote Desktop Protocol», um sich Zugang zu Systemen zu verschaffen.
Bis zur Stilllegung der Leak-Seite hatte Ragnar Locker dort über 100 Opfer aufgeführt, wie das IT-Sicherheitsunternehmen CrowdStrike in einer Mitteilung schreibt.
Laut FBI waren allein von April 2020 bis März 2022 mehr als 50 Organisationen in kritischen Wirtschaftssektoren durch Cyberangriffe von Ragnar Locker betroffen, darunter der grosse Energieversorger Energias de Portugal (EDP) und die portugiesische Fluggesellschaft TAP, die US-Tochtergesellschaft des französischen Luft- und Raumfahrtunternehmens Dassault Aviation sowie das französische Schifffahrts- und Logistikunternehmen CMA CGM, aber auch ein grosses israelisches Spital und Griechenlands nationaler Erdgasbetreiber.
Es gibt Leute, die nennen das Karma.
Schade gibt es keine Bilder ihrer Gesichter, als sie merkten, dass aus ihnen als Täter Opfer wurden.
Glückwunsch an die Ukrainian Cyber Alliance!