Zugriff: Ehemalige HIVE-Mitglieder festgenommen

Zugriff: Ehemalige HIVE-Mitglieder festgenommen

Beitrag teilen

Lange wiegten sich die Cyberangreifer in der Ukraine in Sicherheit: Aber am 21. November war Schluss damit! Ein Team aus weltweiten Ermittlern konnte den Kopf der Cyber-Angriffsgruppe samt vier der aktivsten Helfer festsetzen. Die ehemaligen HIVE Mitglieder sollen in den letzten Jahren 250 Server großer Konzerne verschlüsselt und dadurch Schäden von mehreren Hundert Millionen Euro verursacht haben.

Die Zusammenarbeit von Europol und vielen Ermittlern aus Norwegen, Frankreich, Deutschland und den Vereinigten Staaten hat sich gelohnt. Nach der Zerschlagung der APT-Gruppe HIVE im Jahr 2021 haben die Ermittler nicht locker gelassen. Der Erfolg: sie haben die Cybergangster gefasst, die sich an dem HIVE-Code und anderer Malware bedient haben und auf diese Weise über 250 Server von großen Unternehmen angegriffen, verschlüsselt und so einen Schaden von hunderten Millionen Euro verursacht haben.

Anzeige

Ehemalige HIVE-Mitglieder in der Ukraine verhaftet

Am 21. November wurden 30 Grundstücke in den Regionen Kiew, Tscherkassy, ​​Riwne und Winnyzja durchsucht, was zur Festnahme des 32-jährigen Rädelsführers führte. Vier der aktivsten Komplizen des Rädelsführers wurden ebenfalls festgenommen. Mehr als 20 Ermittler aus Norwegen, Frankreich, Deutschland und den Vereinigten Staaten wurden nach Kiew entsandt, um die ukrainische Nationalpolizei bei ihren Ermittlungsmaßnahmen zu unterstützen. Dieser Aufbau wurde vom Europol-Hauptquartier in den Niederlanden gespiegelt, wo ein virtueller Kommandoposten aktiviert wurde, um die bei den Hausdurchsuchungen in der Ukraine beschlagnahmten Daten sofort zu analysieren.

Diese jüngste Aktion folgt auf eine erste Verhaftungsrunde im Jahr 2021 im Rahmen derselben Untersuchung. Seitdem wurden bei Europol und in Norwegen mehrere operative Sprints mit dem Ziel organisiert, die im Jahr 2021 in der Ukraine beschlagnahmten Geräte forensisch zu analysieren. Diese forensischen Folgearbeiten erleichterten die Identifizierung der Verdächtigen, die bei der Aktion in Kiew angegriffen wurden .

Gefährlich, unentdeckt und vielseitig

Es wird angenommen, dass die untersuchten Personen Teil eines Netzwerks sind, die für eine Reihe hochkarätiger Ransomware-Angriffe gegen Organisationen in 71 Ländern verantwortlich sind. Diese Cyber-Akteure sind dafür bekannt, dass sie gezielt Großkonzerne ins Visier nehmen und deren Geschäfte faktisch lahmlegen. Zur Durchführung ihrer Angriffe setzten sie unter anderem die Ransomware LockerGoga, MegaCortex, HIVE und Dharma ein.

Die Verdächtigen hatten unterschiedliche Rollen in dieser kriminellen Vereinigung. Einige von ihnen sollen an der Kompromittierung der IT-Netzwerke ihrer Ziele beteiligt sein, während andere verdächtigt werden für die Geldwäsche von Zahlungen in Kryptowährung verantwortlich zu sein. Die Summen in Bitcoin und anderen Zahlungsmittel hatten die Opfer zur Entschlüsselung ihrer Dateien geleistet.

Die Ermittlungen ergaben, dass die Täter über 250 Server großer Konzerne verschlüsselten und dadurch Schäden in Höhe von mehreren Hundert Millionen Euro verursachten.

Internationale Kooperation

Auf Initiative der französischen Behörden wurde im September 2019 eine gemeinsame Ermittlungsgruppe (JIT) zwischen Norwegen, Frankreich, dem Vereinigten Königreich und der Ukraine eingerichtet, mit finanzieller Unterstützung von Eurojust und Unterstützung beider Agenturen. Die Partner im JIT arbeiten seitdem parallel zu den unabhängigen Ermittlungen der niederländischen, deutschen, schweizerischen und US-amerikanischen Behörden eng zusammen, um die Bedrohungsakteure in der Ukraine ausfindig zu machen und vor Gericht zu stellen.

Diese internationale Zusammenarbeit blieb standhaft und ununterbrochen und hielt auch angesichts der Herausforderungen, die der anhaltende Krieg in der Ukraine mit sich brachte. Ein ukrainischer Cyber-Polizist wurde zunächst für zwei Monate zu Europol entsandt, um sich auf die erste Phase der Aktion vorzubereiten, bevor er dauerhaft zu Europol entsandt wurde, um die Zusammenarbeit der Strafverfolgungsbehörden in diesem Bereich zu erleichtern.

Taskforce gab nicht auf – neue Entschlüsselungstools

Von Beginn der Ermittlungen an veranstaltete das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) von Europol operative Treffen, leistete Unterstützung bei der digitalen Forensik, Kryptowährung und Malware und erleichterte den Informationsaustausch im Rahmen der Joint Cybercrime Action Taskforce (J-CAT), die am Hauptsitz von Europol angesiedelt war .

Die im Rahmen dieser Untersuchung durchgeführte forensische Analyse ermöglichte es den Schweizer Behörden außerdem, gemeinsam mit den No More Ransom-Partnern und Bitdefender Entschlüsselungstools für die Ransomware-Varianten LockerGoga und MegaCortex zu entwickeln. Diese Entschlüsselungstools stehen kostenlos zur Verfügung unter www.nomoreransom.org.

Mehr bei Europol.Europa.eu

 

Passende Artikel zum Thema

Notfallplan: Kommunikation während einer Cyberattacke 

Cyberkriminalität und Datendiebstahl sind ein Supergau und können Unternehmen ins Straucheln bringen. Ein Notfallplan hilft allen Beteiligten, die Nerven und ➡ Weiterlesen

ROC – Risk Operations Center in der Cloud

Branchenweit ist es das erste seiner Art: Das Risk Operations Center (ROC) mit Enterprise TruRisk Management (ETM). Die Qualys-Lösung ermöglicht ➡ Weiterlesen

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen