Raas-Kollektiv "Hive"

Staatliche Hacker legen berüchtigte Ransomware-Bande lahm

Uhr
von Daniel Schurter / watson, yzu

"Hive" erpresste Ölmultis und Betreiber kritischer Infrastruktur, aber auch MediaMarkt und die Emil Frey AG. Doch nun hat es die mutmasslich aus Russland stammende kriminelle Vereinigung schwer erwischt.

(Source: Mike U / Unsplash)
(Source: Mike U / Unsplash)

Die Ransomware-Bande Hive ist von einer konzertierten internationalen Polizeiaktion betroffen: Auf der Leak-Seite der kriminellen Vereinigung prangte am Donnerstag ein Banner, das über die Beschlagnahmung informierte.

Auf der Darknet-Seite stehen die Logos des US-Justizministeriums, der US-Bundespolizei FBI, des Secret Service, von Europol, der Polizei Baden-Württemberg und der Cybercrime-Einheit des Bundeskriminal ...

Auf der Darknet-Seite stehen die Logos des US-Justizministeriums, der US-Bundespolizei FBI, des Secret Service, von Europol, der Polizei Baden-Württemberg und der Cybercrime-Einheit des Bundeskriminalamtes (BKA). (Source: Screenshot watson)

Passenderweise wird die Mitteilung auch auf Russisch angezeigt, denn die mutmasslichen Täter dürften laut Sicherheitsexperten aus Russland stammen.

Die Mitteilung wird auch auf Russisch angezeigt. Ein Server sei in Kalifornien beschlagnahmt worden.

(Source: Screenshot watson)

Die europäische Polizeibehörde Europol schreibt in einer Mitteilung, sie habe die deutschen, niederländischen und US-amerikanischen Behörden dabei unterstützt, "die Infrastruktur der produktiven HIVE-Ransomware auszuschalten".

Wie arbeitete Hive?

Seit Juni 2021 seien über 1500 Unternehmen aus über 80 Ländern weltweit Opfer der Bande geworden und hätten fast 100 Millionen Euro an Lösegeldzahlungen verloren. Zu den Attackierten gehörten Betreiber von kritischer Infrastruktur, darunter Regierungseinrichtungen, Telekommunikationsunternehmen sowie Institutionen des Gesundheitswesens.

Der verursachte Schaden bei den betroffenen Unternehmen und öffentlichen Institutionen soll nach Schätzungen der Ermittler "in die Milliarden gehen".

Cybersicherheitsexperten gehen davon aus, dass sich Hive im vergangenen Jahr mit der ebenfalls aus Russland stammenden Ransomware-Bande Conti verbündet hatte.

Bei einem grösseren Angriff zielten Hive-Mitglieder auf ein Spital in den USA ab, was zu schwerwiegenden Auswirkungen auf die Art und Weise geführt habe, wie die Gesundheitsorganisation mit der Corona-Pandemie umgehen konnte. Wegen der Attacke habe die Klinik keine neuen Patientinnen und Patienten mehr aufnehmen können und keinen Zugriff mehr auf die elektronischen Patientendaten gehabt.

Die Hintermänner von Hive hatten sich für das Geschäftsmodell "Ransomware as a Service" (RaaS) entschieden. Das heisst, sie entwickelten Angriffswerkzeuge und stellten kriminellen Dritten – sogenannten Partnern – die IT-Infrastruktur für die Ransomware-Attacken zur Verfügung. Dann kassierten sie 20 Prozent der erzielten Lösegeldeinnahmen.

Die Hive-Ransomware sei auch eingesetzt worden, um Daten und Computersysteme grosser IT- und Ölmultis in der EU und den USA zu kompromittieren und zu verschlüsseln.

Wie war der Schlag möglich und was hats gebracht?

An einer Pressekonferenz sagten US-Justizminister Merrick Garland, FBI-Direktor Christopher Wray und die stellvertretende US-Justizministerin Lisa Monaco, dass es Hackern der Regierung gelungen sei, in das Netzwerk von Hive einzudringen. Sie hätten die Gruppe überwacht und heimlich die digitalen Schlüssel gestohlen, mit denen die Kriminellen die Computer ihrer Opfer verschlüsselten.

In der Folge habe man die Opfer im Voraus warnen können, damit sie Massnahmen zum Schutz ihrer Systeme ergreifen konnten, bevor Hive das Lösegeld einforderte.

Die Strafverfolgungsbehörden stellten laut Europol-Mitteilung einigen kompromittierten Unternehmen den Entschlüsselungsschlüssel ("Dekryptor") zur Verfügung, um ihnen zu helfen, ihre Daten zu entschlüsseln, ohne das Lösegeld zu zahlen. Diese Bemühungen hätten die Zahlung von mehr als 130 Millionen US-Dollar oder umgerechnet rund 120 Millionen Euro an Lösegeldzahlungen an die Täter verhindert.

"Seit Juli vergangenen Jahres haben wir mehr als 300 Opfern auf der ganzen Welt geholfen und so Lösegeldzahlungen in Höhe von etwa 130 Millionen US-Dollar verhindert", sagte US-Justizminister Merrick Garland bei einer Pressekonferenz in Washington. Garland bedankte sich bei den internationalen Partnern – insbesondere Deutschland und den Niederlanden - für die grenzübergreifende Zusammenarbeit.

Zu Verhaftungen ist bislang nichts bekannt, die Ermittlungen gehen gemäss den US-Behörden weiter.

Was sagen unabhängige Sicherheitsexperten?

Der kanadische Forscher Brett Callow vom IT-Sicherheitsunternehmen Emsisoft sagte zu Reuters, Hive sei "eine der aktivsten Gruppen überhaupt, wenn nicht die aktivste."

Die flüchtigen Hacker würden wahrscheinlich bald wieder unter einem anderem Banden-Namen tätig oder von andere RaaS-Gruppen rekrutiert werden, zitiert Reuters den IT-Sicherheitsexperte Jim Simpson (Searchlight Cyber).

Adam Meyers, Head of Intelligence beim IT-Sicherheitsunternehmen CrowdStrike, sagte: "Die Beschlagnahmung der Leak-Seite und des Portals für Opferverhandlungen ist ein grosser Rückschlag für die Operationen der Kriminellen. Ohne Zugang zu beiden Seiten müssen die Hive-Mitglieder auf andere Kommunikationsmittel mit ihren Opfern zurückgreifen und alternative Wege finden, um Opferdaten zu veröffentlichen."

Der Sicherheitsexperte Hüseyin Can Yuceel (Picus Security) erklärte, selbst wenn die Bandenmitglieder identifiziert würden, seien sie möglicherweise nicht in Reichweite der Polizei. Deswegen habe das FBI den nächstbesten Weg gewählt und die Operationen der Gruppe gestoppt.

Ein beschlagnahmter Hive-Server befand sich offenbar in Kalifornien, also im Zuständigkeitsbereich des FBI.

Wer war an der Aktion beteiligt?

Ermittler aus Europa und den USA.

Laut Europol handelte es sich um eine koordinierte Aktion der folgenden nationalen Polizeibehörden:

  • Deutschland: Bundeskriminalamt und Polizeipräsidium Reutlingen – CID Esslingen (Polizei BW)
  • Frankreich: National Police (Police Nationale)
  • Grossbritannien: National Crime Agency
  • Irland: National Police (An Garda Síochána)
  • Kanada: Royal Canadian Mounted Police (RCMP) & Peel Regional Police
  • Litauen: Kriminalpolizei (Kriminalinės Policijos Biuras)
  • Niederlande: Nationale Polizei (Politie)
  • Norwegen: Nationale Polizei (Politiet)
  • Portugal: Kriminalpolizei (Polícia Judiciária)
  • Rumänien: Rumänische Polizei (Poliția Română – DCCO)
  • Schweden: Schwedische Polizei (Polisen)
  • Spanien: Spanische Polizei (Policía Nacional)
  • USA: Secret Service, Federal Bureau of Investigations

Die Schweiz wird von Europol nicht aufgeführt.

Dieser Artikel erschien zuerst bei "watson".

Zu den Schweizer Opfern von Hive gehörte etwa Media Markt. Von der Elektronikhandelsgruppe verlangten die Kriminellen 240 Millionen Dollar Lösegeld, wie Sie hier nachlesen können. Auch der Autohändler Emil Frey war von der Gruppe betroffenen. Hive veröffentlichte ein 300 Gigabyte schweres Datenpaket von Emil Frey, welches auch Kundendaten umfasste, wie Sie hier nachlesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
sB4cUZAD

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter