Zugriff: Ehemalige HIVE-Mitglieder festgenommen

Zugriff: Ehemalige HIVE-Mitglieder festgenommen

Beitrag teilen

Lange wiegten sich die Cyberangreifer in der Ukraine in Sicherheit: Aber am 21. November war Schluss damit! Ein Team aus weltweiten Ermittlern konnte den Kopf der Cyber-Angriffsgruppe samt vier der aktivsten Helfer festsetzen. Die ehemaligen HIVE Mitglieder sollen in den letzten Jahren 250 Server großer Konzerne verschlüsselt und dadurch Schäden von mehreren Hundert Millionen Euro verursacht haben.

Die Zusammenarbeit von Europol und vielen Ermittlern aus Norwegen, Frankreich, Deutschland und den Vereinigten Staaten hat sich gelohnt. Nach der Zerschlagung der APT-Gruppe HIVE im Jahr 2021 haben die Ermittler nicht locker gelassen. Der Erfolg: sie haben die Cybergangster gefasst, die sich an dem HIVE-Code und anderer Malware bedient haben und auf diese Weise über 250 Server von großen Unternehmen angegriffen, verschlüsselt und so einen Schaden von hunderten Millionen Euro verursacht haben.

Ehemalige HIVE-Mitglieder in der Ukraine verhaftet

Am 21. November wurden 30 Grundstücke in den Regionen Kiew, Tscherkassy, ​​Riwne und Winnyzja durchsucht, was zur Festnahme des 32-jährigen Rädelsführers führte. Vier der aktivsten Komplizen des Rädelsführers wurden ebenfalls festgenommen. Mehr als 20 Ermittler aus Norwegen, Frankreich, Deutschland und den Vereinigten Staaten wurden nach Kiew entsandt, um die ukrainische Nationalpolizei bei ihren Ermittlungsmaßnahmen zu unterstützen. Dieser Aufbau wurde vom Europol-Hauptquartier in den Niederlanden gespiegelt, wo ein virtueller Kommandoposten aktiviert wurde, um die bei den Hausdurchsuchungen in der Ukraine beschlagnahmten Daten sofort zu analysieren.

Diese jüngste Aktion folgt auf eine erste Verhaftungsrunde im Jahr 2021 im Rahmen derselben Untersuchung. Seitdem wurden bei Europol und in Norwegen mehrere operative Sprints mit dem Ziel organisiert, die im Jahr 2021 in der Ukraine beschlagnahmten Geräte forensisch zu analysieren. Diese forensischen Folgearbeiten erleichterten die Identifizierung der Verdächtigen, die bei der Aktion in Kiew angegriffen wurden .

Gefährlich, unentdeckt und vielseitig

Es wird angenommen, dass die untersuchten Personen Teil eines Netzwerks sind, die für eine Reihe hochkarätiger Ransomware-Angriffe gegen Organisationen in 71 Ländern verantwortlich sind. Diese Cyber-Akteure sind dafür bekannt, dass sie gezielt Großkonzerne ins Visier nehmen und deren Geschäfte faktisch lahmlegen. Zur Durchführung ihrer Angriffe setzten sie unter anderem die Ransomware LockerGoga, MegaCortex, HIVE und Dharma ein.

Die Verdächtigen hatten unterschiedliche Rollen in dieser kriminellen Vereinigung. Einige von ihnen sollen an der Kompromittierung der IT-Netzwerke ihrer Ziele beteiligt sein, während andere verdächtigt werden für die Geldwäsche von Zahlungen in Kryptowährung verantwortlich zu sein. Die Summen in Bitcoin und anderen Zahlungsmittel hatten die Opfer zur Entschlüsselung ihrer Dateien geleistet.

Die Ermittlungen ergaben, dass die Täter über 250 Server großer Konzerne verschlüsselten und dadurch Schäden in Höhe von mehreren Hundert Millionen Euro verursachten.

Internationale Kooperation

Auf Initiative der französischen Behörden wurde im September 2019 eine gemeinsame Ermittlungsgruppe (JIT) zwischen Norwegen, Frankreich, dem Vereinigten Königreich und der Ukraine eingerichtet, mit finanzieller Unterstützung von Eurojust und Unterstützung beider Agenturen. Die Partner im JIT arbeiten seitdem parallel zu den unabhängigen Ermittlungen der niederländischen, deutschen, schweizerischen und US-amerikanischen Behörden eng zusammen, um die Bedrohungsakteure in der Ukraine ausfindig zu machen und vor Gericht zu stellen.

Diese internationale Zusammenarbeit blieb standhaft und ununterbrochen und hielt auch angesichts der Herausforderungen, die der anhaltende Krieg in der Ukraine mit sich brachte. Ein ukrainischer Cyber-Polizist wurde zunächst für zwei Monate zu Europol entsandt, um sich auf die erste Phase der Aktion vorzubereiten, bevor er dauerhaft zu Europol entsandt wurde, um die Zusammenarbeit der Strafverfolgungsbehörden in diesem Bereich zu erleichtern.

Taskforce gab nicht auf – neue Entschlüsselungstools

Von Beginn der Ermittlungen an veranstaltete das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) von Europol operative Treffen, leistete Unterstützung bei der digitalen Forensik, Kryptowährung und Malware und erleichterte den Informationsaustausch im Rahmen der Joint Cybercrime Action Taskforce (J-CAT), die am Hauptsitz von Europol angesiedelt war .

Die im Rahmen dieser Untersuchung durchgeführte forensische Analyse ermöglichte es den Schweizer Behörden außerdem, gemeinsam mit den No More Ransom-Partnern und Bitdefender Entschlüsselungstools für die Ransomware-Varianten LockerGoga und MegaCortex zu entwickeln. Diese Entschlüsselungstools stehen kostenlos zur Verfügung unter www.nomoreransom.org.

Mehr bei Europol.Europa.eu

 

Passende Artikel zum Thema

28. Januar 2024: Europäischer Datenschutztag

Am 28. Januar 2024 ist Europäischer Datenschutztag. In dem Zusammenhang gilt es, das Bewusstsein für Privatsphäre sowie Datenschutz zu schärfen ➡ Weiterlesen

Gesundheitswesen bevorzugtes Ziel für E-Mail-Angriffe

In einer Umfrage war das Gesundheitswesen häufiger als der Durchschnitt von E-Mail-Sicherheitsverletzungen betroffen. Vor allem die Wiederherstellungskosten nach solchen Angriffen ➡ Weiterlesen

Outlook: Kalendereintrag kann Passwort stehlen

Es gibt eine neue Sicherheitslücke in Outlook und drei Möglichkeiten auf NTLM v2-Hash-Passwörter zuzugreifen. Der Zugang kann durch die Kalenderfunktion ➡ Weiterlesen

Cloud-Sicherheit: Hälfte aller Attacken starten in der Cloud

Die Ergebnisse einer großangelegten Studie zeigen, dass die Cloud-Sicherheit deutlichen Verbesserungsbedarf hat. Cloud-Angriffe kosten Unternehmen im Durchschnitt 4,1 Millionen USD. ➡ Weiterlesen

Viele deutsche Handwerkskammern weiterhin offline

Bereits Anfang Januar wurde der IT-Dienstleister ODAV das Opfer einer Cyberattacke. Da der Dienstleister viele Services für deutsche Handwerkskammer stellt ➡ Weiterlesen

KI: 2024 zentraler Faktor in Unternehmen

Laut einer Studie halten weltweit 82 Prozent der CTOs und CIOs großer Unternehmen KI für entscheidend für die Abwehr von ➡ Weiterlesen

Angriffe auf SSH-Server durch SSH-Tunneling

Ein Pionier im Bereich Cloud Native Security hat eine seit langem bestehende aber kaum bekannte Bedrohung für SSH-Server näher beleuchtet. ➡ Weiterlesen

Cybersicherheitsvorfälle: Fehlendes Budget ist ein Risikofaktor

Laut einer Umfrage liegt in 18 Prozent der Cybersicherheitsvorfälle der Grund dafür an fehlendem Budget für Cybersicherheit. Die Fertigungsbranche ist ➡ Weiterlesen