Mitte 2021 begannen die ersten Cyberangriffe mit der Ransomware Hive. Die Bande stieg bald in den Kreis der umtriebigsten und auch erfolgreichsten Cyberkriminellen auf. Nach Berechnungen des FBI erbeutete sie bis Ende letzten Jahres Lösegeldzahlungen von rund 100 Millionen US-Dollar. Über 1500 Unternehmen und Organisationen aus über 80 Ländern seien Opfer von Hive geworden.

In der Schweiz gehörte im Januar 2022 die Emil Frey Gruppe zu den Opfern. Das Unternehmen gab damals keine Stellungnahme ab, ob eine Lösegeldforderung eingegangen war. Ein weiteres prominentes Opfer der Bande war kurz zuvor Media Markt gewesen. Noch kürzlich veröffentlichte die Gruppe auf ihrer Website im Darknet neue Meldungen zu Angriffen, darunter auf einen Anbieter von Seniorenpflege und ein weiteres Unternehmen in den USA. Diese Website im Darknet ist seit gestern, 26. Januar, offline.

In einer international angelegten Aktion haben Behörden die Infrastruktur von Hive ausgeschaltet. Daran beteiligt waren unter anderem das US-Departement of Justice (DoJ), das FBI, die National Crime Agency in Grossbritannien und zahlreiche weitere Polizeibehörden in Ländern wie Deutschland, Schweden, Rumänien und Holland. In einer Mitteilung schreibt das DoJ, es sei gelungen, "die Kontrolle über die Server und Websites zu übernehmen, die Hive nutzt, um mit seinen Mitgliedern zu kommunizieren". Dadurch sei die Fähigkeit von Hive, Opfer anzugreifen und zu erpressen, stark eingeschränkt.

"Seit Ende Juli 2022 ist das FBI in die Computernetzwerke von Hive eingedrungen, hat seine Entschlüsselungsschlüssel erbeutet und sie Opfern weltweit angeboten." Über 300 Entschlüsselungsschlüssel seien an angegriffene Hive-Opfer weitergegeben worden, darüber hinaus habe man über 1000 zusätzliche Entschlüsselungsschlüssel an frühere Hive-Opfer verteilt. "Unsere Bemühungen in diesem Fall ersparten den Opfern Lösegeldzahlungen in Höhe von über 100 Millionen Dollar und wahrscheinlich noch mehr Sanierungskosten", sagte der stellvertretende Generalstaatsanwalt Kenneth A. Polite.

Mit der Übernahme der Kontrolle über die Hive-Infrastruktur sei jetzt der nächste Schlag erfolgt. Wie einem Durchsuchungsbefehl des United States District Court zu entnehmen ist, wurden auch Server und die darauf gespeicherten Daten in Kalifornien beschlagnahmt.

Bis jetzt kam es im Zuge der Operation noch zu keinen Verhaftungen von mutmasslichen Hive-Mitgliedern oder Cyberkriminellen, die Kunden des Ransomware-as-a-Service (RaaS)-Modells von Hive sind. Die US-Behörden erklärten aber, dass sie weiterhin mit internationalen Partnern zusammenarbeiten werden, um zusätzliche Hive-Infrastruktur zu beschlagnahmen und Entwickler und Partner zu verhaften.

In einer weiteren Mitteilung kündigte das US-Aussenministerium an, eine Prämie von bis zu 10 Millionen US-Dollar für Hinweise zu Hive anzubieten. "Wenn Sie Informationen haben, die Hive oder andere böswillige Cyber-Akteure, die auf kritische US-Infrastrukturen abzielen, mit einer ausländischen Regierung in Verbindung bringen, senden Sie uns Ihren Tipp", so das Ministerium in einem Tweet.