Im Januar 2022 schlug die Ransomware-Gruppe Hive bei der Emil Frey Gruppe zu. Das Schweizer Autohaus zählt zu den rund 1300 Unternehmen weltweit, die bis jetzt von der Bande angegriffen worden sind. Dies geht aus einem gemeinsamen Alert des FBI und der US-Security-Behörde CISA hervor. Namen von Opfern nennt der Bericht keine, doch bekannt ist, dass die Cyberkriminellen vor Emil Frey bereits Media Markt attackiert hatten.

"Von Juni 2021 bis mindestens November 2022 haben Bedrohungsakteure Hive-Ransomware eingesetzt, um ein breites Spektrum von Unternehmen und kritischen Infrastruktursektoren anzugreifen, darunter Regierungseinrichtungen, Kommunikations-, Industrie-, Informationstechnologiebetriebe und insbesondere das Gesundheitswesen", schreiben die US-Behörden.

Auf unsere Anfrage bezog die Emil-Frey-Gruppe damals keine Stellung, ob eine Lösegeldforderung eingegangen sei. Erklärte aber Anfang Februar, dass die schnelle Wiederherstellung der IT-Systeme bereits "weitgehend abgeschlossen ist." Die Betriebe seien wieder operativ und alle Kunden könnten vollumfänglich bedient werden.

Laut FBI-Informationen haben Hive-Akteure mit dem Modell Ransomware-as-a-Service bis jetzt Lösegeldzahlungen in Höhe von etwa 100 Millionen US-Dollar erbeutet. Damit gehört die Bande zu den finanziell erfolgreichsten im Ransomware-Geschäft.

Meist würden die Cyberkriminellen gestohlene Single-Factor-Anmeldeinformationen verwenden, um Zugang zu den Netzwerken der Opfer zu erlangen. Zum Teil seien auch Multi-Faktor-Authentifizierungen umgangen worden, indem ungepatchte Schwachstellen ausgenutzt wurden, insbesondere bei Microsoft Exchange Server. Der Bericht enthält weitere Details zu Hive-Kompromittierungsindikatoren (IOCs) und Taktiken, Techniken und Verfahren (TTPs).