Hive: Nach der Zerschlagung hoffen die Opfer

Hive: Nach der Zerschlagung hoffen die Opfer

Beitrag teilen

Das Ende der Ransomware-Gruppe HIVE war gleichzeitig der Start neuer Ermittlungsmethoden: Durch Infiltration von Hackerbanden sind Lösegeldzahlungen nicht länger alternativlos. Für APT-Banden wird die Luft dünner.

Vor einigen Wochen haben deutsche und US-amerikanische Behörden (Polizei Baden-Württemberg sowie FBI und Secret Service) in Kooperation mit weiteren europäischen Sicherheitsbehörden das Hackernetzwerk „Hive“ nach einer gemeinsamen Ermittlung zerschlagen. Ein Kommentar von Lothar Geuenich, VP Central Europe / DACH bei Check Point.

Anzeige

HIVE: Täter bangen – Opfer hoffen

Das ist ein Sieg, der gefeiert werden sollte. Denn offenbar hatte die Gruppe durch Ransomware-Angriffe bereits rund 100 Millionen Euro von mehr als 1500 Unternehmen und Organisationen (davon 70 in Deutschland) erbeutet. Indem die Behörden die Hacker unbemerkt infiltrierten, konnten sie seit Juli über 300 Opfern von Ransomware die Entschlüsselungscodes zuspielen, wodurch diese ihre Daten wiedererlangen und Lösegeldzahlungen im Wert von fast 120 Millionen Euro verhindert werden konnten.

Soweit die Faktenlage. Zwar formen sich diese Banden häufig unter anderem Namen neu oder spalten sich in andere auf. Diese Aktion sendet jedoch eine wichtige Botschaft und hat wahrscheinlich einige Ransomware-Gruppen erschüttert, da sie nicht wissen, ob ihre Bande womöglich auch gerade überwacht werden könnte. Bisher wurden noch keine Verhaftungen bekannt gegeben und die Ermittlungen dauern weiter an. Man muss bedenken, dass die Täter von den Behörden über ein halbes Jahr hinweg ohne deren Wissen beobachtet wurden. Man kann also gespannt sein, was mit den mit Hive in Verbindung stehenden Akteuren nun geschehen wird.

HIVE von Behörden unterwandert und gehackt

Interessant ist ebenfalls, dass die Ermittler sich – in einer koordinierten Strafverfolgung und mit legalen Mitteln – in die Systeme von Hive gehackt und darüber hinaus den Opfern heimlich geholfen haben, indem sie ihnen die Entschlüsselungscodes übergaben. Alles, während bei Hive das „Tagesgeschäft“ normal weiterlief. Es ist damit zu rechnen, dass wir künftig häufiger von derartigen digitalen Ermittlungsmethoden lesen werden, da sie schneller und einfacher durchzuführen sind als mit herkömmlichen Methoden nach Cyberkriminellen zu fahnden und sie zu verhaften – vor allem wenn man an die Grenzen der internationalen Strafverfolgung denkt.

Andere Ransomware-Gruppen müssen nun damit rechnen, dass ihre Opfer die Entschlüsselungsschlüssel zugespielt bekommen und ihre „Operationen“ so ein frühzeitiges Ende nehmen. Denn der ist ihr einziger Hebel gegen ihre Opfer und entzieht ihnen sofort die Grundlage für das Geschäft mit der Datenerpressung. Es sendet ebenso die Botschaft, dass Behörden sich der gleichen Methoden wie die Täter bedienen, um Operationen durchzuführen und Cyberkriminelle zu stören.

Unternehmen vertrauen den Behörden

Mit Hilfe der Strafverfolgungsbehörden müssen Betroffene den Ransomware-Banden bestenfalls kein Lösegeld zahlen, was dazu führen könnte, dass sich mehr Unternehmen melden, wenn sie mit einem Angriff konfrontiert werden. Im besten Fall könnte das darin resultieren, dass weniger Unternehmen an die Kriminellen zahlen, wenn sie von erfolgreichen Ermittlungsverläufen wie der Zerschlagung der Hive-Gruppe mitbekommen.

Sicher war dieser (wenn auch bemerkenswerte) Ermittlungserfolg nicht das Anfang vom Ende der Ransomware-Ära. Doch der sendet mehrere wichtige Signale an alle Hackergruppen: Zum einen, dass die Strafverfolgung sich zunehmend den digitalen Raum und die Taktiken der Täter zunutze macht, um sie mit ihren eigenen Waffen zu schlagen. Die Infiltration der Hive-Gruppe zeigt aber auch, dass die internationale Gemeinschaft erkannt hat, dass Cyberkriminalität länderübergreifende Ermittlung und Koordination unabdingbar macht. Das vermittelt den Hackern, dass sie sich nicht länger sicher fühlen können, wenn sie aus dem Ausland Angriffe initiieren, ohne die Justiz fürchten zu müssen. Man darf gespannt sein, welche Ermittlungen folgen werden – und welche Hacker-Gruppe womöglich bereits unwissentlich infiltriert wurde.

Mehr bei CheckPoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen

Authentifizierungs-Codes geknackt

Forscher in China haben einen Ansatz demonstriert, der erfolgreich auf kürzere Authentifizierungs- und Verschlüsselungscodes abzielt - allerdings noch nicht auf ➡ Weiterlesen

Drei Schritte zur quantensicheren Verschlüsselung (PQC)

Vor wenigen Wochen hat das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei – von insgesamt vier ➡ Weiterlesen

Eine aktuelle Software Bill of Materials ist die Ausnahme

Eine Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie ➡ Weiterlesen

Cyberkriminelle stehlen Cookies

Die FBI-Abteilung Atlanta warnt die Öffentlichkeit, dass Cyberkriminelle sich Zugang zu E-Mail-Konten verschaffen, indem sie Cookies vom Computer des Opfers ➡ Weiterlesen