Digital
Ransomware

RagnarLocker und Trigona: Ransomware-Banden im Darknet ausgeschaltet

Teaserbild zu russischen Ransomware-Banden Trigona und Ragnar Locker, die schwere Rückschläge hinnehmen mussten (Oktober 2023).
Russische Cyberkriminelle sorgen gewöhnlich mit ihren Angriffen auf westliche Unternehmen für Schlagzeilen. Nun hat es sie selber erwischt.Bild: watson / Shutterstock

Gleich zwei russische Ransomware-Banden ausgeschaltet – das willst du wissen

Die Ransomware-Bande Trigona ist mit ihren eigenen Waffen geschlagen worden. Und auch zur «RagnarLocker»-Gruppe gibt es gute Nachrichten, die die russischsprachige Cyber-Unterwelt erschüttern dürften.
20.10.2023, 18:2621.10.2023, 20:21
Mehr «Digital»

Für die russischsprachigen Ransomware-Banden, die mit ihren Attacken grossen Schaden anrichten, kam es diese Woche knüppeldick: Gleich zwei aktive Gruppierungen mussten massive Rückschläge hinnehmen. Hier erfährst du alles Wichtige zu den aussergewöhnlichen Ereignissen.

Hacktivisten hacken russische Cyberkriminelle

Die Hacktivistengruppe «Ukrainian Cyber Alliance» hat der russischsprachigen Ransomware-Bande Trigona einen schweren Schlag versetzt: Die technisch versierten Hacker nutzten eine Sicherheitslücke in einer Server-Software, um das Darknet-Portal der Cyberkriminellen zu kapern.

Die Hacktivisten kopierten gemäss eigenen Angaben unbemerkt alle gespeicherten Daten, bevor sie diese löschten. Dann versahen sie die Startseite mit einer speziellen «Begrüssung», die sich an die Internet-Erpresser richtete.

«Willkommen in der Welt, die ihr für andere geschaffen habt.»

Die in einschlägigen Kreisen bekannten Darknet-Webadressen mit dem Kürzel «.onion» sind seit Kurzem nicht mehr über das Anonymisierungs-Netzwerk Tor erreichbar.

Screenshot der Darknet-Seite der Ransomware-Bande Trigona, die offenbar von pro-ukrainischen Hacktivisten lahmgelegt wurde (18. Oktober 2023).
«Trigona ist weg!»: Die Kriminellen bekamen auf ihrer eigenen Darknet-Seite dieses «Defacement» (Verunstaltung) zu Gesicht.Screenshot: Darknet

Trigona zählt zu den Banden, deren Geschäftsmodell als «Ransomware as a Service» (RaaS) bezeichnet wird. Die Cyberkriminellen boten ihre IT-Infrastruktur Dritten gegen Bezahlung an, um Opfer zu hacken und zu erpressen.

Die gleichnamige Verschlüsselungs-Software ist seit Juni 2022 bekannt. Es handelte sich also um eine relativ junge Bande, wobei nicht auszuschliessen ist, dass die Mitglieder der Bande auch unter anderen Namen aktiv waren.

Gemäss den Angaben auf der Darknet-Seite stammten die meisten betroffenen Unternehmen aus den USA, aber auch in Europa wurden mehrere Organisationen gehackt und an den Pranger gestellt, weil sie nicht bezahlten. Zu Schweizer Opfern von Trigona ist watson bislang nichts bekannt.

Die pro-ukrainischen Hacktivisten liessen bei X verlauten, dass sie die Daten der Ransomware-Bande zunächst selber auswerten wollen. Laut Bleeping Computer könnten sie anschliessend an Strafverfolgungsbehörden weitergegeben werden.

Zu den angeblich erbeuteten Daten gehörten die Entwicklerumgebung samt Schadsoftware-Quellcode, Kryptowährungs-Konten und Datenbankeinträge, wie ein Mitglied der ukrainischen Cyber Alliance bei X verlauten liess.

«Ransomware ist der Aasfresser der Computerwelt.»
Der pro-ukrainische Hacker mit dem Pseudonym herm1t hält nichts von russischen Cyberkriminellen, die sich auf erpresserische Hackerangriffe spezialisiert haben.quelle: telegram
Screenshot zum Hackerangriff auf Ransomware-Bande Trigona.
Dieser Screenshot soll belegen, dass die Hacktivisten zentrale Software-Elemente der russischsprachigen Cyberkriminellen erbeutet haben.quelle: Twitter

Der Schock muss tief gesessen haben bei den gehackten Cyberkriminellen: Als sie schliesslich die Eindringlinge in ihrem IT-System bemerkten, hätten sie noch verzweifelt versucht, die Passwörter zu ändern. Ohne Erfolg.

Inzwischen ist in einem russischen Hacker-Forum ein Posting veröffentlicht worden, das den Angriff bestätigt. Der Trigona-Administrator behauptet, die Bande werde schon in wenigen Tagen eine neue Infrastruktur in Betrieb nehmen.

Und damit kommen wir zu einer anderen, noch gefährlicheren Ransomware-Bande, die in dieser Woche einen verheerenden Rückschlag hinnehmen musste ...

Ermittler legen Ragnar-Locker-Infrastruktur lahm

Die Darknet-Infrastruktur der russischsprachigen Ransomware-Bande Ragnar Locker ist im Rahmen einer internationalen Strafverfolgungsoperation beschlagnahmt und ein mutmasslicher Hauptverantwortlicher von der Polizei verhaftet worden, wie Europol am Freitag mitteilte.

Screenshot der Darknet-Seite der Ransomware-Bande Ragnar Locker.
Dieser Warnhinweis-Banner auf der Leak-Seite im Darknet informierte seit Donnerstag über die internationale Polizeiaktion.Screenshot: watson

Laut Europol-Mitteilung wurden in einer koordinierten Aktion zwischen dem 16. und 20. Oktober Durchsuchungen in Tschechien, Spanien und Lettland durchgeführt. Das «Hauptziel», ein IT-Entwickler, sei in Paris, Frankreich, verhaftet, und seine Wohnung in Tschechien durchsucht worden. In den darauffolgenden Tagen seien ausserdem fünf Verdächtige in Spanien und Lettland von Ermittlern befragt worden.

«Am Ende der Aktionswoche wurde der Haupttäter, der verdächtigt wird, ein Entwickler der Ragnar-Gruppe zu sein, den Untersuchungsrichtern des Pariser Gerichts vorgeführt.»

Die Infrastruktur der Ransomware-Bande sei auch in den Niederlanden, Deutschland und Schweden beschlagnahmt worden und die zugehörige Tor-Webseite für die Datenlecks sei in Schweden abgeschaltet worden.

Diese internationale Razzia sei «das Ergebnis komplexer Ermittlungen», die von der französischen Gendarmerie in Zusammenarbeit mit Strafverfolgungsbehörden aus Deutschland, Italien, Japan, Lettland, den Niederlanden, Schweden, Spanien, der Ukraine, der Tschechischen Republik und den USA durchgeführt wurden.

Bereits im Oktober 2021 seien Ermittler der französischen Gendarmerie und der US-Bundespolizei FBI mit Spezialisten von Europol und Interpol in die Ukraine entsandt worden. Sie führten laut Mitteilung mit der ukrainischen Nationalpolizei Ermittlungen durch, die zur Verhaftung von zwei prominenten Ragnar-Locker-Betreibern führten. Die Ermittlungen seien seitdem fortgesetzt worden und führten diese Woche zu den Verhaftungen und Beschlagnahmungen.

«Diese Untersuchung zeigt einmal mehr, dass die internationale Zusammenarbeit der Schlüssel zum Sieg über Ransomware-Gruppen ist. Prävention und Sicherheit werden immer besser, doch die Betreiber von Ransomware sind weiterhin innovativ und finden neue Opfer.»
Edvardas Šileris, Europol, European Cybercrime Centre

Was machte Ragnar Locker so gefährlich?

Ragnar Locker gilt als eine der am längsten aktiven Ransomware-Banden der Welt. Die Gruppe hat sich seit 2019 vor allem mit Cyberangriffen gegen Betreibergesellschaften von kritischer Infrastruktur einen Namen gemacht und gilt als eine Vorreiterin des sogenannten «Big Game Hunting»: Das heisst, die Cyberkriminellen attackierten bevorzugt zahlungskräftige Grossunternehmen und stahlen wertvolle Daten.

Mit ihren Angriffswerkzeugen zielten die Hacker auf Rechner mit Microsoft-Windows-Betriebssystemen ab und sie nutzten in der Regel Online-Dienste wie das «Remote Desktop Protocol», um sich Zugang zu Systemen zu verschaffen.

Bis zur Stilllegung der Leak-Seite hatte Ragnar Locker dort über 100 Opfer aufgeführt, wie das IT-Sicherheitsunternehmen CrowdStrike in einer Mitteilung schreibt.

Laut FBI waren allein von April 2020 bis März 2022 mehr als 50 Organisationen in kritischen Wirtschaftssektoren durch Cyberangriffe von Ragnar Locker betroffen, darunter der grosse Energieversorger Energias de Portugal (EDP) und die portugiesische Fluggesellschaft TAP, die US-Tochtergesellschaft des französischen Luft- und Raumfahrtunternehmens Dassault Aviation sowie das französische Schifffahrts- und Logistikunternehmen CMA CGM, aber auch ein grosses israelisches Spital und Griechenlands nationaler Erdgasbetreiber.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die gefährlichsten Ransomware-Banden der Welt
1 / 22
Die gefährlichsten Ransomware-Banden der Welt
In dieser Bildstrecke lernst du einige der gefährlichsten Ransomware-Banden kennen, die häufig mithilfe von kriminellen Geschäftspartnern und praktisch überall in Europa und Nordamerika zuschlagen.
quelle: shutterstock
Auf Facebook teilenAuf X teilen
Arnold Schwarzeneggers starke Botschaft gegen Hass und Antisemitismus
Video: watson
Das könnte dich auch noch interessieren:
12 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Liebu
20.10.2023 18:42registriert Oktober 2020
Das geilste ist immer wieder, wenn Hacker selber gehackt werden.
Es gibt Leute, die nennen das Karma.
Schade gibt es keine Bilder ihrer Gesichter, als sie merkten, dass aus ihnen als Täter Opfer wurden.
1010
Melden
Zum Kommentar
avatar
Martin Baumgartner
20.10.2023 19:27registriert Juni 2022
Ich wünsche ja niemanden etwas Schlechtes, aber bei dem was den russischen Cyberkriminellen gesehen ist, kann ich durchaus darüber lachen.
Glückwunsch an die Ukrainian Cyber Alliance!
860
Melden
Zum Kommentar
avatar
mlemble
20.10.2023 18:44registriert Dezember 2022
Endlich geht was! Gratuliere den Behörden für die geglückte Aktion.
721
Melden
Zum Kommentar
12
Twint integriert Cumulus und Co. ins Bezahlen an der Ladenkasse – so funktioniert es
Twint versucht, Kundenkarten wie Migros Cumulus direkt in den Zahlungsvorgang an der Ladenkasse zu integrieren. Davon sollen Konsumenten und Händler profitieren.

2023 wurde an den Schweizer Ladenkassen fast doppelt so häufig mit Twint bezahlt als noch im Vorjahr. Mit ein Grund dafür dürfte sein, dass Nutzerinnen und Nutzer seit einiger Zeit unter anderem die Coop Supercard in der Bezahl-App hinterlegen können und beim Bezahlen mit Twint Treuepunkte sammeln, ohne zusätzlich das Kärtchen zücken zu müssen. Bislang konnten aber nur wenige Kundenkarten in der App hinterlegt werden. Das soll sich nun ändern.

Zur Story