Hive Ransomware-Infrastruktur von Strafverfolgern beschlagnahmt (Jan. 2023)

Sicherheit (Pexels, allgemeine Nutzung)[English]In einer koordinierten Aktion haben internationale Strafverfolgungsbehörden die Infrastruktur der Hive Ransomware-Gruppe beschlagnahmt. Damit kann die Gruppe keine Zahlungen mehr über ihre Tor-Webseite entgegen nehmen. An der Aktion waren Ermittler aus den Niederlande, aus Deutschland und aus den USA beteiligt. Das ist ein weiterer Fall, in dem Strafverfolger zurückschlagen und Webseiten sowie Infrastruktur einer Cyberkriminellen-Gruppe zerschlagen.


Anzeige

Aktuell gibt es wohl noch keine offizielle Mitteilung der Strafverfolgungsbehörden. Aber viele Medien berichten bereits über die Beschlagnahmeaktion und die Webseite der Gruppe zeigt ein Beschlagnahme-Logo.

EUROPOL seized HIVE ransomware group's Tor domain

Tagesschau berichtet hier, dass die Staatsanwaltschaft Stuttgart zusammen mit US-Justizbehörden und weiteren Strafverfolgern das internationale operierende Netzwerk der Hive-Ransomware-Gang zerschlagen habe. "Eine Vielzahl von Servern wurden beschlagnahmt, Daten und Accounts des Netzwerks und seiner Nutzer gesichert", erklärten die Staatsanwaltschaft Stuttgart und das Polizeipräsidium Reutlingen.

Die Ransomware-Gruppe war seit Juni 2021 aktiv und hat mehr als 1500 Unternehmen weltweit angegriffen. In Deutschland waren es ca. 70 Betroffene, so die Strafverfolger. Drei dieser Opfer sind Baden-Württemberg angesiedelt, so dass die Kriminalpolizeidirektion Esslingen involviert war. Deren Ermittler seien dem Netzwerk bei Ermittlungen zu einem dort betroffenen Unternehmen auf die Spur gekommen. Eine Liste der Opfer lässt sich übrigens auf dieser Webseite einsehen.

In einer gemeinsamen Erklärung des US-Justizministers Merrick Garland, des FBI-Direktors Christopher Wray und der stellvertretenden US-Justizministerin Lisa Monaco heißt es, dass Ermittler in das Netzwerk von Hive eingedrungen seien. Die Ermittler haben darauf hin die Bande überwacht und heimlich die digitalen Schlüssel gestohlen, mit denen die Ransomware-Gruppe die Daten der Opferorganisationen entsperrte. "Wir haben die Hacker mit legalen Mitteln gehackt", zitiert Reuters Lisa Monaco. "Wir haben den Spieß gegen Hive umgedreht".

Die Tagesschau zitiert Udo Vogel, Polizeipräsident von Reutlingen, mit: "Es hat sich wieder einmal gezeigt, dass eine intensive und von gegenseitigem Vertrauen geprägte Zusammenarbeit über Landesgrenzen und Kontinente hinweg der Schlüssel zur schlagkräftigen Bekämpfung der schweren Cyberkriminalität ist. Wir sind dankbar, Teil dieses außergewöhnlichen Netzwerks mit hochprofessionellen Partnern zu sein und unseren Beitrag zu solchen Erfolgen leisten zu können." Laut EU-Polizeibehörde Europol wurde von Hive auch kritische Infrastruktur im Gesundheits- und IT-Bereich, darunter Krankenhäuser, Telefonanbieter und Fabriken, attackiert.

Die Nachricht über das Takedown der Infrastruktur verbreitete sich vor wenigen Stunden, als die Website von Hive durch eine blinkende Meldung ersetzt wurde, die besagte: "Das Federal Bureau of Investigation hat diese Website als Teil einer koordinierten Strafverfolgungsmaßnahme gegen Hive Ransomware beschlagnahmt."

Hive war eine der produktivsten unter einer Vielzahl von Cyberkriminellen, die internationale Unternehmen erpressen, indem sie deren Daten verschlüsseln und im Gegenzug massive Zahlungen in Kryptowährung verlangen. Zudem wurden beim Angriff abgezogene Daten auf einer Hive-Leak-Seite veröffentlicht, um Druck auf die Opfer auszuüben.


Anzeige

In einer im November verbreiteten Warnung erklärte das FBI, dass Cyberkriminelle, die mit Hive in Verbindung stehen, mehr als 1.300 Unternehmen weltweit zum Opfer gefallen sind und rund 100 Millionen US-Dollar an Lösegeldzahlungen erhalten haben. Aktuell heißt es vom FBI, dass die Zahl der angegriffenen Unternehmen auf 1.500 gestiegen sei und dass der Hack der Hive-Netzwerke Lösegeldzahlungen in Höhe von etwa 130 Millionen US-Dollar vereitelt habe. Interessant wird für Opfer sein, wann die Strafverfolger in Zusammenarbeit mit Sicherheitsfirmen Entschlüsselungstools bereitstellen.

Ergänzung: Von Tenable ging mir noch eine Einschätzung zum Vorgang zu. Satnam Narang, Staff Research Engineer bei Tenable meint dazu:

Die von den Sicherheitsbehörden ergriffenen Maßnahmen, um den Betrieb der Hive-Ransomware-Gruppe von innen heraus zu stören, sind ein beispielloser Schritt im Kampf gegen Ransomware, die für die meisten Unternehmen heute ständig die größte Bedrohung darstellt. Dies könnte zwar das Ende der Hive-Ransomware-Gruppe bedeuten, aber seine Mitglieder und Partner stellen weiterhin eine Bedrohung dar. Wenn wir aus vergangenen Störaktionen gegen Ransomware-Gruppen etwas gelernt haben, dann dass andere Gruppen aufstehen werden, um die hinterlassene Lücke zu füllen.

Affiliates, die normalerweise für die Durchführung der meisten dieser Angriffe verantwortlich sind, können leicht zu anderen Affiliate-Programmen von Gruppen wechseln, die weiterhin betriebsbereit sind, und Mitglieder von Ransomware-Gruppen können ihr Wissen ebenfalls an diese Gruppen weitergeben.

Einer der wichtigsten Wege, wie Ransomware-Gruppen Aufmerksamkeit und Bekanntheit erlangen, ist die Veröffentlichung ihrer erfolgreichen Angriffe auf Datenleck-Sites im Dark Web. Es würde mich nicht überraschen, wenn Ransomware-Gruppen die Bedrohung sehen, die durch die Wartung dieser Sites entsteht, und aufhören, diese Angriffe öffentlich aufzulisten in einem Versuch, unter dem Radar zu bleiben.

Ich denke, dieser Einschätzung ist nichts hinzuzufügen. Ein Loch ist gestopft, die Akteure werden an anderer Stelle weiter machen.

Ähnliche Artikel:
Decryptor für Hive Ransomware v1 bis v4 verfügbar
Hive-Ransomware-Gang erbeutete 100 Millionen von 1.300 Opfern (u.a. Media Markt)
Media Markt/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ Lösegeldforderung
Anatomie eines Hive Ransomware-Angriffs auf Exchange per ProxyShell


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Hive Ransomware-Infrastruktur von Strafverfolgern beschlagnahmt (Jan. 2023)

  1. Luzifer sagt:

    Haben die jetzt nur das Netzwerk zerschlagen? Oder auch die Drahtzieher dingfest gemacht? Ersteres wäre nen Rückschlag, aber hindert die "Terroristen" ja nicht weiterzumachen, Infrastruktur kann man wieder hochziehen, letzteres wäre tatsächlich nen tiefsitzender Schlag!

    • Singlethreaded sagt:

      In den heute-Nachrichten war ein Kommentar, dass man dem Dieb den Dietrich genommen habe und das der in zwei Monaten wieder zurück im Spiel sein wird.

  2. Paul sagt:

    Werden auch die noch nicht potenziellen Opfer informiert?
    Oder machen die das so wie der Kipo: Buchten die Täter ein, aber lassen die Bilder auf den Servern damit das Geschäft weitergehen kann?

  3. mw sagt:

    Legale Mittel? Das darf doch bezweifelt werden. Das Eindringen in fremde gesicherte Computersysteme ist strafbar. Die Justiz kann die Infrastruktur beschlagnahmen und auswerten, aber der Hackback ist nicht legal und schon gar nicht legitim.

    Die ranzigen und anfälligen, meist ungepatchten und unsicheren Windows und AD Systeme sind aber immer noch im Einsatz und den Betreibern solchermaßen höchst riskanter Infrastruktur passiert natürlich nichts. Im Gegenteil, man versucht noch die Namen der Firmen zu verheimlichen, die eine schwache und angreifbare Infrastrktur haben.

    Da hilft es wenig ein paar Kriminellen ihr Werkzeug wegzunehmen. Das läßt sich leicht wieder beschaffen und dann auch besser sichern.

    Diese Art Kriminalität läßt sich nur durch sichere System der Boden entziehen.

    • Bernd sagt:

      MW: Soll ich lachen? Es gibt KEINE sicheren Systeme (auch Ihre Linuxdinger nicht)! Es wird immer Schwachstellen geben. Ein Hackback ist für mich legitim. Sie können den Angreifern auch gerne einen freundlichen Brief schreiben mit der Bitte solche Dinge unverzüglich einzustellen sonst…Wattebällchen!

      • mw sagt:

        Da lach ICH doch über. Es gibt ziemlich sichere Systeme und ziemlich unsichere System. Von letzteren viel mehr und diese sind Ziel der Attacken.
        Wieso den Angreifern einen Brief schreiben: "Sie müssen leider draußen bleiben" genügt vollkommen und zudem ein Schloß an der Tür. Man kann es Eindringlichen leicht machen. Die meisten Unternehmen, die Windows, AD, Exchange und Outlook nutzen, machen es den Angreifern eben leicht. Das schließt nicht aus, daß es einige wenige mit viel Sachkunde richtig machen.
        P.S. 'isch abe gar keine Linuxdinger'

    • R.S. sagt:

      Das Eindringen in fremde gesicherte Computersysteme ist für die Justiz nicht zwingend strafbar! Nämlich genau dann nicht, wenn es einen richterlichen Durchsuchungsbefehl gibt.
      Und bei solchen Aktionen wird es den ganz sicher geben, denn sonst könnten die das gleich ganz sein lassen, da es vor Gericht kassiert würde.
      Denn Ermittlungsergebnisse, die illegal erlangt wurden, sind vor Gericht nicht verwertbar, auch nicht in den USA.

  4. Kay sagt:

    Auch wenn die Täter nicht ermittelt werden können, so gilt die Hive-Ransomware trotzdem erstmal als komprimitiert. Der Ruf in der Szene ist somit erstmal ruiniert und die Cyberkriminellen werden es sich zweimal überlegen, Hive für ihre Angriffe zu nutzen. Man muss ja davon ausgehen, dass die Behörden nicht nur die Server, Schlüssel und Tools ausgespäht, sondern die grundlegende Funktionsweise und das Framework sich angeschaut haben. Womöglich kamen die sogar an den Quellcode der Ransomware, was diese wiederum nutzlos macht.

    Wahrscheinlich war die Gier der Täter nach Macht, Ruhm und Geld nach soviel erfolgreichen Angriffen so groß, dass sie unvorsichtig geworden sind. Je mehr den SaS-Dienst der Ransomware nutzen, desto größer ist auch das Risiko einen staatlichen Akteur unter den Nutzern zu haben.

    Ich könnt mir vorstellen, dass der Schlag gegen die Infrastruktur nur der Anfang ist. Weil daraus ergeben sich ja wiederum ungeahnte Wege zu weiteren, anderen Akteuren und Infrastrukturen.

    Der Faktor Mensch und Ego spielt hier eine große Rolle, wenn ein Teil der Täter dingfest gemacht wurden. Die plaudern ja gerne mal aus dem Nähkästchen und geben Hinweise zu anderen Tätern und Strukturen, nur um ihren Ar*** zu retten. Nicht ohne Grund gibt es soviel "Kronzeugen" und "Informanten" die früher mal große Hacker waren.

    Das beste Beispiel ist Hector alias Sabu oder Mitnick…

    • mw sagt:

      Warum sollte die Ransomware kompromittiert sein? Weil jetzt alle System gegen die Lücken, welche die Angreifer negutzt haben abgedichtet sind? Da lach ich doch über. Die Infrastruktur wird neu aufgebaut und diesmal gegen die Enttarnung besser gesichert. schließlich lernen die Hive Macher aus ihren fehlern, wohingegen die Industrie niemals lernen wird (jedenfalls nicht im großen und richtigen Maßstab).
      "Windows, Office und Active Directory gelten seit Jahren als gravierendste Bedrohung der Cybersicherheit. Und Leute, die das einsetzen.
      Und Unternehmen, die kein Schloss an die Tür machen und ihr Dach nicht abdichten und danach von "krimineller Energie" reden, wenn es reinregnet."
      Danke. Fefe.

Schreibe einen Kommentar zu Paul Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.