Lange wiegten sich die Cyberangreifer in der Ukraine in Sicherheit: Aber am 21. November war Schluss damit! Ein Team aus weltweiten Ermittlern konnte den Kopf der Cyber-Angriffsgruppe samt vier der aktivsten Helfer festsetzen. Die ehemaligen HIVE Mitglieder sollen in den letzten Jahren 250 Server großer Konzerne verschlüsselt und dadurch Schäden von mehreren Hundert Millionen Euro verursacht haben.
Die Zusammenarbeit von Europol und vielen Ermittlern aus Norwegen, Frankreich, Deutschland und den Vereinigten Staaten hat sich gelohnt. Nach der Zerschlagung der APT-Gruppe HIVE im Jahr 2021 haben die Ermittler nicht locker gelassen. Der Erfolg: sie haben die Cybergangster gefasst, die sich an dem HIVE-Code und anderer Malware bedient haben und auf diese Weise über 250 Server von großen Unternehmen angegriffen, verschlüsselt und so einen Schaden von hunderten Millionen Euro verursacht haben.
Ehemalige HIVE-Mitglieder in der Ukraine verhaftet
Am 21. November wurden 30 Grundstücke in den Regionen Kiew, Tscherkassy, Riwne und Winnyzja durchsucht, was zur Festnahme des 32-jährigen Rädelsführers führte. Vier der aktivsten Komplizen des Rädelsführers wurden ebenfalls festgenommen. Mehr als 20 Ermittler aus Norwegen, Frankreich, Deutschland und den Vereinigten Staaten wurden nach Kiew entsandt, um die ukrainische Nationalpolizei bei ihren Ermittlungsmaßnahmen zu unterstützen. Dieser Aufbau wurde vom Europol-Hauptquartier in den Niederlanden gespiegelt, wo ein virtueller Kommandoposten aktiviert wurde, um die bei den Hausdurchsuchungen in der Ukraine beschlagnahmten Daten sofort zu analysieren.
Diese jüngste Aktion folgt auf eine erste Verhaftungsrunde im Jahr 2021 im Rahmen derselben Untersuchung. Seitdem wurden bei Europol und in Norwegen mehrere operative Sprints mit dem Ziel organisiert, die im Jahr 2021 in der Ukraine beschlagnahmten Geräte forensisch zu analysieren. Diese forensischen Folgearbeiten erleichterten die Identifizierung der Verdächtigen, die bei der Aktion in Kiew angegriffen wurden .
Gefährlich, unentdeckt und vielseitig
Es wird angenommen, dass die untersuchten Personen Teil eines Netzwerks sind, die für eine Reihe hochkarätiger Ransomware-Angriffe gegen Organisationen in 71 Ländern verantwortlich sind. Diese Cyber-Akteure sind dafür bekannt, dass sie gezielt Großkonzerne ins Visier nehmen und deren Geschäfte faktisch lahmlegen. Zur Durchführung ihrer Angriffe setzten sie unter anderem die Ransomware LockerGoga, MegaCortex, HIVE und Dharma ein.
Die Verdächtigen hatten unterschiedliche Rollen in dieser kriminellen Vereinigung. Einige von ihnen sollen an der Kompromittierung der IT-Netzwerke ihrer Ziele beteiligt sein, während andere verdächtigt werden für die Geldwäsche von Zahlungen in Kryptowährung verantwortlich zu sein. Die Summen in Bitcoin und anderen Zahlungsmittel hatten die Opfer zur Entschlüsselung ihrer Dateien geleistet.
Die Ermittlungen ergaben, dass die Täter über 250 Server großer Konzerne verschlüsselten und dadurch Schäden in Höhe von mehreren Hundert Millionen Euro verursachten.
Internationale Kooperation
Auf Initiative der französischen Behörden wurde im September 2019 eine gemeinsame Ermittlungsgruppe (JIT) zwischen Norwegen, Frankreich, dem Vereinigten Königreich und der Ukraine eingerichtet, mit finanzieller Unterstützung von Eurojust und Unterstützung beider Agenturen. Die Partner im JIT arbeiten seitdem parallel zu den unabhängigen Ermittlungen der niederländischen, deutschen, schweizerischen und US-amerikanischen Behörden eng zusammen, um die Bedrohungsakteure in der Ukraine ausfindig zu machen und vor Gericht zu stellen.
Diese internationale Zusammenarbeit blieb standhaft und ununterbrochen und hielt auch angesichts der Herausforderungen, die der anhaltende Krieg in der Ukraine mit sich brachte. Ein ukrainischer Cyber-Polizist wurde zunächst für zwei Monate zu Europol entsandt, um sich auf die erste Phase der Aktion vorzubereiten, bevor er dauerhaft zu Europol entsandt wurde, um die Zusammenarbeit der Strafverfolgungsbehörden in diesem Bereich zu erleichtern.
Taskforce gab nicht auf – neue Entschlüsselungstools
Von Beginn der Ermittlungen an veranstaltete das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) von Europol operative Treffen, leistete Unterstützung bei der digitalen Forensik, Kryptowährung und Malware und erleichterte den Informationsaustausch im Rahmen der Joint Cybercrime Action Taskforce (J-CAT), die am Hauptsitz von Europol angesiedelt war .
Die im Rahmen dieser Untersuchung durchgeführte forensische Analyse ermöglichte es den Schweizer Behörden außerdem, gemeinsam mit den No More Ransom-Partnern und Bitdefender Entschlüsselungstools für die Ransomware-Varianten LockerGoga und MegaCortex zu entwickeln. Diese Entschlüsselungstools stehen kostenlos zur Verfügung unter www.nomoreransom.org.
Mehr bei Europol.Europa.eu