Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

27. Januar 2023 um 12:47
  • security
  • ransomware
  • hive
  • justiz
  • international
image
Foto: FBI

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

Mitte 2021 begannen die ersten Cyberangriffe mit der Ransomware Hive. Die Bande stieg bald in den Kreis der umtriebigsten und auch erfolgreichsten Cyberkriminellen auf. Nach Berechnungen des FBI erbeutete sie bis Ende letzten Jahres Lösegeldzahlungen von rund 100 Millionen US-Dollar. Über 1500 Unternehmen und Organisationen aus über 80 Ländern seien Opfer von Hive geworden.
In der Schweiz gehörte im Januar 2022 die Emil Frey Gruppe zu den Opfern. Das Unternehmen gab damals keine Stellungnahme ab, ob eine Lösegeldforderung eingegangen war. Ein weiteres prominentes Opfer der Bande war kurz zuvor Media Markt gewesen. Noch kürzlich veröffentlichte die Gruppe auf ihrer Website im Darknet neue Meldungen zu Angriffen, darunter auf einen Anbieter von Seniorenpflege und ein weiteres Unternehmen in den USA. Diese Website im Darknet ist seit gestern, 26. Januar, offline.

Server beschlagnahmt, Website abgeschaltet

image
Beschlagnahmung der Hive-Domain im Darkweb.
In einer international angelegten Aktion haben Behörden die Infrastruktur von Hive ausgeschaltet. Daran beteiligt waren unter anderem das US-Departement of Justice (DoJ), das FBI, die National Crime Agency in Grossbritannien und zahlreiche weitere Polizeibehörden in Ländern wie Deutschland, Schweden, Rumänien und Holland. In einer Mitteilung schreibt das DoJ, es sei gelungen, "die Kontrolle über die Server und Websites zu übernehmen, die Hive nutzt, um mit seinen Mitgliedern zu kommunizieren". Dadurch sei die Fähigkeit von Hive, Opfer anzugreifen und zu erpressen, stark eingeschränkt.
"Seit Ende Juli 2022 ist das FBI in die Computernetzwerke von Hive eingedrungen, hat seine Entschlüsselungsschlüssel erbeutet und sie Opfern weltweit angeboten." Über 300 Entschlüsselungsschlüssel seien an angegriffene Hive-Opfer weitergegeben worden, darüber hinaus habe man über 1000 zusätzliche Entschlüsselungsschlüssel an frühere Hive-Opfer verteilt. "Unsere Bemühungen in diesem Fall ersparten den Opfern Lösegeldzahlungen in Höhe von über 100 Millionen Dollar und wahrscheinlich noch mehr Sanierungskosten", sagte der stellvertretende Generalstaatsanwalt Kenneth A. Polite.
Mit der Übernahme der Kontrolle über die Hive-Infrastruktur sei jetzt der nächste Schlag erfolgt. Wie einem Durchsuchungsbefehl des United States District Court zu entnehmen ist, wurden auch Server und die darauf gespeicherten Daten in Kalifornien beschlagnahmt.

Noch keine Festnahmen

Bis jetzt kam es im Zuge der Operation noch zu keinen Verhaftungen von mutmasslichen Hive-Mitgliedern oder Cyberkriminellen, die Kunden des Ransomware-as-a-Service (RaaS)-Modells von Hive sind. Die US-Behörden erklärten aber, dass sie weiterhin mit internationalen Partnern zusammenarbeiten werden, um zusätzliche Hive-Infrastruktur zu beschlagnahmen und Entwickler und Partner zu verhaften.
In einer weiteren Mitteilung kündigte das US-Aussenministerium an, eine Prämie von bis zu 10 Millionen US-Dollar für Hinweise zu Hive anzubieten. "Wenn Sie Informationen haben, die Hive oder andere böswillige Cyber-Akteure, die auf kritische US-Infrastrukturen abzielen, mit einer ausländischen Regierung in Verbindung bringen, senden Sie uns Ihren Tipp", so das Ministerium in einem Tweet.

Loading

Mehr erfahren

Mehr zum Thema

image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024
image

Wo sich der Grossteil der Cybercrime-Aktivitäten abspielt

Eine Forschungsarbeit der Universität Oxford zeigt die globalen Cybercrime-Hotspots. Dies soll dem privaten wie öffentlichen Sektor helfen, Ressourcen gezielt einzusetzen.

publiziert am 12.4.2024
image

Podcast: Das Gesundheitswesen und die Cybersicherheit

Das Bundesamt für Gesundheit ist auf der Suche nach einem Dienstleister, der Unterstützung im Bereich Cybersicherheit bietet. In einer Ausschreibung haben wir mehrere Mängel festgestellt. In der aktuellen Podcast-Episode reden wir unter anderem darüber.

publiziert am 12.4.2024
image

Die neuen Namen im Ransomware-Geschäft

Neue Banden wie Akira, Qilin oder Rhysida haben in der Schweiz bereits Opfer gefunden. Wir haben uns gefragt, wer und was sich dahinter verbirgt – und Antworten gefunden.

publiziert am 11.4.2024