Trigona und Ragnar-Locker

Zwei russische Hackergruppen sind vorerst weg vom Fenster

Uhr
von Watson, dwa

Die Hacktivistengruppe "Ukrainian Cyber Alliance" hat die Ransomware-Bande Trigona mit ihren eigenen Waffen geschlagen. Auch die Ragnar-Locker-Gruppe hat schwere Verluste hinnehmen müssen.

(Source: DCstudio / freepik.com)
(Source: DCstudio / freepik.com)

Für die russischsprachigen Ransomware-Banden, die mit ihren Attacken grossen Schaden anrichten, kam es diese Woche knüppeldick: Gleich zwei aktive Gruppierungen mussten massive Rückschläge hinnehmen. Hier erfahren Sie alles Wichtige zu den aussergewöhnlichen Ereignissen.

Hacktivisten hacken russische Cyberkriminelle

Die Hacktivistengruppe "Ukrainian Cyber Alliance" hat der russischsprachigen Ransomware-Bande Trigona einen schweren Schlag versetzt: Die technisch versierten Hacker nutzten eine Sicherheitslücke in einer Server-Software, um das Darknet-Portal der Cyberkriminellen zu kapern.

Die Hacktivisten kopierten gemäss eigenen Angaben unbemerkt alle gespeicherten Daten, bevor sie diese löschten. Dann versahen sie die Startseite mit einer speziellen "Begrüssung", die sich an die Internet-Erpresser richtete: "Willkommen in der Welt, die ihr für andere geschaffen habt."

Die in einschlägigen Kreisen bekannten Darknet-Webadressen mit dem Kürzel ".onion" sind seit Kurzem nicht mehr über das Anonymisierungs-Netzwerk Tor erreichbar.

"Trigona ist weg!": Die Kriminellen bekamen auf ihrer eigenen Darknet-Seite dieses "Defacement" (Verunstaltung) zu Gesicht. (Source: https://twitter.com/vxunderground/status/1715031357041090755)

Trigona zählt zu den Banden, deren Geschäftsmodell als "Ransomware-as-a-Service" (RaaS) bezeichnet wird. Die Cyberkriminellen boten ihre IT-Infrastruktur Dritten gegen Bezahlung an, um Opfer zu hacken und zu erpressen.

Die gleichnamige Verschlüsselungs-Software ist seit Juni 2022 bekannt. Es handelte sich also um eine relativ junge Bande, wobei nicht auszuschliessen ist, dass die Mitglieder der Bande auch unter anderen Namen aktiv waren.

Gemäss den Angaben auf der Darknet-Seite stammten die meisten betroffenen Unternehmen aus den USA, aber auch in Europa wurden mehrere Organisationen gehackt und an den Pranger gestellt, weil sie nicht bezahlten. Zu Schweizer Opfern von Trigona ist Watson bislang nichts bekannt.

Die pro-ukrainischen Hacktivisten liessen bei X verlauten, dass sie die Daten der Ransomware-Bande zunächst selber auswerten wollen. Laut "Bleepingcomputer.com" könnten sie anschliessend an Strafverfolgungsbehörden weitergegeben werden.

Zu den angeblich erbeuteten Daten gehörten die Entwicklerumgebung samt Schadsoftware-Quellcode, Kryptowährungs-Konten und Datenbankeinträge, wie ein Mitglied der ukrainischen Cyberalliance bei X verlauten liess.