Hive: Nach der Zerschlagung hoffen die Opfer

Hive: Nach der Zerschlagung hoffen die Opfer

Beitrag teilen

Das Ende der Ransomware-Gruppe HIVE war gleichzeitig der Start neuer Ermittlungsmethoden: Durch Infiltration von Hackerbanden sind Lösegeldzahlungen nicht länger alternativlos. Für APT-Banden wird die Luft dünner.

Vor einigen Wochen haben deutsche und US-amerikanische Behörden (Polizei Baden-Württemberg sowie FBI und Secret Service) in Kooperation mit weiteren europäischen Sicherheitsbehörden das Hackernetzwerk „Hive“ nach einer gemeinsamen Ermittlung zerschlagen. Ein Kommentar von Lothar Geuenich, VP Central Europe / DACH bei Check Point.

HIVE: Täter bangen – Opfer hoffen

Das ist ein Sieg, der gefeiert werden sollte. Denn offenbar hatte die Gruppe durch Ransomware-Angriffe bereits rund 100 Millionen Euro von mehr als 1500 Unternehmen und Organisationen (davon 70 in Deutschland) erbeutet. Indem die Behörden die Hacker unbemerkt infiltrierten, konnten sie seit Juli über 300 Opfern von Ransomware die Entschlüsselungscodes zuspielen, wodurch diese ihre Daten wiedererlangen und Lösegeldzahlungen im Wert von fast 120 Millionen Euro verhindert werden konnten.

Soweit die Faktenlage. Zwar formen sich diese Banden häufig unter anderem Namen neu oder spalten sich in andere auf. Diese Aktion sendet jedoch eine wichtige Botschaft und hat wahrscheinlich einige Ransomware-Gruppen erschüttert, da sie nicht wissen, ob ihre Bande womöglich auch gerade überwacht werden könnte. Bisher wurden noch keine Verhaftungen bekannt gegeben und die Ermittlungen dauern weiter an. Man muss bedenken, dass die Täter von den Behörden über ein halbes Jahr hinweg ohne deren Wissen beobachtet wurden. Man kann also gespannt sein, was mit den mit Hive in Verbindung stehenden Akteuren nun geschehen wird.

HIVE von Behörden unterwandert und gehackt

Interessant ist ebenfalls, dass die Ermittler sich – in einer koordinierten Strafverfolgung und mit legalen Mitteln – in die Systeme von Hive gehackt und darüber hinaus den Opfern heimlich geholfen haben, indem sie ihnen die Entschlüsselungscodes übergaben. Alles, während bei Hive das „Tagesgeschäft“ normal weiterlief. Es ist damit zu rechnen, dass wir künftig häufiger von derartigen digitalen Ermittlungsmethoden lesen werden, da sie schneller und einfacher durchzuführen sind als mit herkömmlichen Methoden nach Cyberkriminellen zu fahnden und sie zu verhaften – vor allem wenn man an die Grenzen der internationalen Strafverfolgung denkt.

Andere Ransomware-Gruppen müssen nun damit rechnen, dass ihre Opfer die Entschlüsselungsschlüssel zugespielt bekommen und ihre „Operationen“ so ein frühzeitiges Ende nehmen. Denn der ist ihr einziger Hebel gegen ihre Opfer und entzieht ihnen sofort die Grundlage für das Geschäft mit der Datenerpressung. Es sendet ebenso die Botschaft, dass Behörden sich der gleichen Methoden wie die Täter bedienen, um Operationen durchzuführen und Cyberkriminelle zu stören.

Unternehmen vertrauen den Behörden

Mit Hilfe der Strafverfolgungsbehörden müssen Betroffene den Ransomware-Banden bestenfalls kein Lösegeld zahlen, was dazu führen könnte, dass sich mehr Unternehmen melden, wenn sie mit einem Angriff konfrontiert werden. Im besten Fall könnte das darin resultieren, dass weniger Unternehmen an die Kriminellen zahlen, wenn sie von erfolgreichen Ermittlungsverläufen wie der Zerschlagung der Hive-Gruppe mitbekommen.

Sicher war dieser (wenn auch bemerkenswerte) Ermittlungserfolg nicht das Anfang vom Ende der Ransomware-Ära. Doch der sendet mehrere wichtige Signale an alle Hackergruppen: Zum einen, dass die Strafverfolgung sich zunehmend den digitalen Raum und die Taktiken der Täter zunutze macht, um sie mit ihren eigenen Waffen zu schlagen. Die Infiltration der Hive-Gruppe zeigt aber auch, dass die internationale Gemeinschaft erkannt hat, dass Cyberkriminalität länderübergreifende Ermittlung und Koordination unabdingbar macht. Das vermittelt den Hackern, dass sie sich nicht länger sicher fühlen können, wenn sie aus dem Ausland Angriffe initiieren, ohne die Justiz fürchten zu müssen. Man darf gespannt sein, welche Ermittlungen folgen werden – und welche Hacker-Gruppe womöglich bereits unwissentlich infiltriert wurde.

Mehr bei CheckPoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Datensicherheit & Backup – mehr als ein Fallschirm für Unternehmen

Unternehmen benötigen eine Lösung für Backup, Disaster-Recovery, Archivierung und auch für ihre kalten Daten. Sechs Fragen, sechs Antworten von Hannes ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Microsoft: 38 TByte Daten versehentlich offengelegt

Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen

Cyberbedrohung: Rhysida-Ransomware

Taktiken und Techniken der Rhysida-Ransomware ähneln denen der berüchtigten Ransomware-Bande Vice Society. Experten vermuten, dass Vice Society eine eigene Variante ➡ Weiterlesen

Daten vor Double Extortion Ransomware schützen

Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen

Mit generativer KI Schwachstellen schneller beheben

KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen

Ransomware: Noch erfolgreicher durch KI

Kriminelle nutzen mittlerweile KI, um ihre Ransomware-Angriffe noch effizienter zu machen. Betrachtet man die neuesten Entwicklungen, ist keine Entwarnung in ➡ Weiterlesen