Das Ende der Ransomware-Gruppe HIVE war gleichzeitig der Start neuer Ermittlungsmethoden: Durch Infiltration von Hackerbanden sind Lösegeldzahlungen nicht länger alternativlos. Für APT-Banden wird die Luft dünner.
Vor einigen Wochen haben deutsche und US-amerikanische Behörden (Polizei Baden-Württemberg sowie FBI und Secret Service) in Kooperation mit weiteren europäischen Sicherheitsbehörden das Hackernetzwerk „Hive“ nach einer gemeinsamen Ermittlung zerschlagen. Ein Kommentar von Lothar Geuenich, VP Central Europe / DACH bei Check Point.
HIVE: Täter bangen – Opfer hoffen
Das ist ein Sieg, der gefeiert werden sollte. Denn offenbar hatte die Gruppe durch Ransomware-Angriffe bereits rund 100 Millionen Euro von mehr als 1500 Unternehmen und Organisationen (davon 70 in Deutschland) erbeutet. Indem die Behörden die Hacker unbemerkt infiltrierten, konnten sie seit Juli über 300 Opfern von Ransomware die Entschlüsselungscodes zuspielen, wodurch diese ihre Daten wiedererlangen und Lösegeldzahlungen im Wert von fast 120 Millionen Euro verhindert werden konnten.
Soweit die Faktenlage. Zwar formen sich diese Banden häufig unter anderem Namen neu oder spalten sich in andere auf. Diese Aktion sendet jedoch eine wichtige Botschaft und hat wahrscheinlich einige Ransomware-Gruppen erschüttert, da sie nicht wissen, ob ihre Bande womöglich auch gerade überwacht werden könnte. Bisher wurden noch keine Verhaftungen bekannt gegeben und die Ermittlungen dauern weiter an. Man muss bedenken, dass die Täter von den Behörden über ein halbes Jahr hinweg ohne deren Wissen beobachtet wurden. Man kann also gespannt sein, was mit den mit Hive in Verbindung stehenden Akteuren nun geschehen wird.
HIVE von Behörden unterwandert und gehackt
Interessant ist ebenfalls, dass die Ermittler sich – in einer koordinierten Strafverfolgung und mit legalen Mitteln – in die Systeme von Hive gehackt und darüber hinaus den Opfern heimlich geholfen haben, indem sie ihnen die Entschlüsselungscodes übergaben. Alles, während bei Hive das „Tagesgeschäft“ normal weiterlief. Es ist damit zu rechnen, dass wir künftig häufiger von derartigen digitalen Ermittlungsmethoden lesen werden, da sie schneller und einfacher durchzuführen sind als mit herkömmlichen Methoden nach Cyberkriminellen zu fahnden und sie zu verhaften – vor allem wenn man an die Grenzen der internationalen Strafverfolgung denkt.
Andere Ransomware-Gruppen müssen nun damit rechnen, dass ihre Opfer die Entschlüsselungsschlüssel zugespielt bekommen und ihre „Operationen“ so ein frühzeitiges Ende nehmen. Denn der ist ihr einziger Hebel gegen ihre Opfer und entzieht ihnen sofort die Grundlage für das Geschäft mit der Datenerpressung. Es sendet ebenso die Botschaft, dass Behörden sich der gleichen Methoden wie die Täter bedienen, um Operationen durchzuführen und Cyberkriminelle zu stören.
Unternehmen vertrauen den Behörden
Mit Hilfe der Strafverfolgungsbehörden müssen Betroffene den Ransomware-Banden bestenfalls kein Lösegeld zahlen, was dazu führen könnte, dass sich mehr Unternehmen melden, wenn sie mit einem Angriff konfrontiert werden. Im besten Fall könnte das darin resultieren, dass weniger Unternehmen an die Kriminellen zahlen, wenn sie von erfolgreichen Ermittlungsverläufen wie der Zerschlagung der Hive-Gruppe mitbekommen.
Sicher war dieser (wenn auch bemerkenswerte) Ermittlungserfolg nicht das Anfang vom Ende der Ransomware-Ära. Doch der sendet mehrere wichtige Signale an alle Hackergruppen: Zum einen, dass die Strafverfolgung sich zunehmend den digitalen Raum und die Taktiken der Täter zunutze macht, um sie mit ihren eigenen Waffen zu schlagen. Die Infiltration der Hive-Gruppe zeigt aber auch, dass die internationale Gemeinschaft erkannt hat, dass Cyberkriminalität länderübergreifende Ermittlung und Koordination unabdingbar macht. Das vermittelt den Hackern, dass sie sich nicht länger sicher fühlen können, wenn sie aus dem Ausland Angriffe initiieren, ohne die Justiz fürchten zu müssen. Man darf gespannt sein, welche Ermittlungen folgen werden – und welche Hacker-Gruppe womöglich bereits unwissentlich infiltriert wurde.
Mehr bei CheckPoint.com
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.