Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

27. Januar 2023 um 12:47
  • security
  • ransomware
  • hive
  • justiz
  • international
image
Foto: FBI

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

Mitte 2021 begannen die ersten Cyberangriffe mit der Ransomware Hive. Die Bande stieg bald in den Kreis der umtriebigsten und auch erfolgreichsten Cyberkriminellen auf. Nach Berechnungen des FBI erbeutete sie bis Ende letzten Jahres Lösegeldzahlungen von rund 100 Millionen US-Dollar. Über 1500 Unternehmen und Organisationen aus über 80 Ländern seien Opfer von Hive geworden.
In der Schweiz gehörte im Januar 2022 die Emil Frey Gruppe zu den Opfern. Das Unternehmen gab damals keine Stellungnahme ab, ob eine Lösegeldforderung eingegangen war. Ein weiteres prominentes Opfer der Bande war kurz zuvor Media Markt gewesen. Noch kürzlich veröffentlichte die Gruppe auf ihrer Website im Darknet neue Meldungen zu Angriffen, darunter auf einen Anbieter von Seniorenpflege und ein weiteres Unternehmen in den USA. Diese Website im Darknet ist seit gestern, 26. Januar, offline.

Server beschlagnahmt, Website abgeschaltet

image
Beschlagnahmung der Hive-Domain im Darkweb.
In einer international angelegten Aktion haben Behörden die Infrastruktur von Hive ausgeschaltet. Daran beteiligt waren unter anderem das US-Departement of Justice (DoJ), das FBI, die National Crime Agency in Grossbritannien und zahlreiche weitere Polizeibehörden in Ländern wie Deutschland, Schweden, Rumänien und Holland. In einer Mitteilung schreibt das DoJ, es sei gelungen, "die Kontrolle über die Server und Websites zu übernehmen, die Hive nutzt, um mit seinen Mitgliedern zu kommunizieren". Dadurch sei die Fähigkeit von Hive, Opfer anzugreifen und zu erpressen, stark eingeschränkt.
"Seit Ende Juli 2022 ist das FBI in die Computernetzwerke von Hive eingedrungen, hat seine Entschlüsselungsschlüssel erbeutet und sie Opfern weltweit angeboten." Über 300 Entschlüsselungsschlüssel seien an angegriffene Hive-Opfer weitergegeben worden, darüber hinaus habe man über 1000 zusätzliche Entschlüsselungsschlüssel an frühere Hive-Opfer verteilt. "Unsere Bemühungen in diesem Fall ersparten den Opfern Lösegeldzahlungen in Höhe von über 100 Millionen Dollar und wahrscheinlich noch mehr Sanierungskosten", sagte der stellvertretende Generalstaatsanwalt Kenneth A. Polite.
Mit der Übernahme der Kontrolle über die Hive-Infrastruktur sei jetzt der nächste Schlag erfolgt. Wie einem Durchsuchungsbefehl des United States District Court zu entnehmen ist, wurden auch Server und die darauf gespeicherten Daten in Kalifornien beschlagnahmt.

Noch keine Festnahmen

Bis jetzt kam es im Zuge der Operation noch zu keinen Verhaftungen von mutmasslichen Hive-Mitgliedern oder Cyberkriminellen, die Kunden des Ransomware-as-a-Service (RaaS)-Modells von Hive sind. Die US-Behörden erklärten aber, dass sie weiterhin mit internationalen Partnern zusammenarbeiten werden, um zusätzliche Hive-Infrastruktur zu beschlagnahmen und Entwickler und Partner zu verhaften.
In einer weiteren Mitteilung kündigte das US-Aussenministerium an, eine Prämie von bis zu 10 Millionen US-Dollar für Hinweise zu Hive anzubieten. "Wenn Sie Informationen haben, die Hive oder andere böswillige Cyber-Akteure, die auf kritische US-Infrastrukturen abzielen, mit einer ausländischen Regierung in Verbindung bringen, senden Sie uns Ihren Tipp", so das Ministerium in einem Tweet.

Loading

Mehr zum Thema

image

Cyberangriff auf Zentralverein für das Blindenwesen

Bei einem Angriff auf das IT-Netzwerk sind Daten abgeflossen. Mittlerweile seien die Daten gesichert und die Systeme teilweise wieder hochgefahren worden.

publiziert am 25.4.2025
image

Infostealer, ungeschützte Repositories: Aktuelle Security-Trends

Hacker nutzen vermehrt alternative Angriffsmethoden, um Unternehmensnetzwerke zu knacken. Exploits bleiben trotzdem der Hauptangriffsvektor.

publiziert am 25.4.2025
image

Auch das Fedpol setzt auf ein US-Analysetool

Nach den Polizeibehörden in Bern und Zürich beschafft auch der Bund Chainalysis für Krypto-Verfolgungen. Der Auftrag wurde freihändig vergeben.

publiziert am 25.4.2025
image

Swiss Cyber Security Days widmen sich der digitalen Souveränität

Die nächste Ausgabe der SCSD steht unter dem Motto "Digital Sovereignty – The New Frontier". Sie findet im Februar 2026 in Bern statt.

publiziert am 24.4.2025