Strafverfolgungsbehörden aus über einem Dutzend Ländern in Europa und Nordamerika haben sich an der Störung der Aktivitäten der Ransomware-Gruppe Hive beteiligt, teilten das US-Justizministerium und Europol mit. Es wird angenommen, dass Hive in den letzten Jahren weltweit verschiedene Organisationen ins Visier genommen und oft Zahlungen in Kryptowährung erpresst hat.
Erbeutete Entschlüsselungsschlüssel halfen Hive-Opfern, die Zahlung von Lösegeld in Höhe von 130 Millionen US-Dollar zu vermeiden
Das Ransomware-Netzwerk Hive, das rund 1.500 Opfer in mehr als 80 Ländern hatte, wurde in einer monatelangen Störungskampagne getroffen, teilten das US-Justizministerium (DOJ) und die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) mit. Insgesamt nahmen 13 Nationen an der Operation teil, darunter EU-Mitgliedstaaten, Großbritannien und Kanada.
Hive wurde als große Cybersicherheitsbedrohung identifiziert, da die Ransomware von verbundenen Akteuren verwendet wurde, um Daten und Computersysteme von Regierungseinrichtungen, Ölmultis, IT- und Telekommunikationsunternehmen in der EU und den USA zu kompromittieren und zu verschlüsseln, sagte Europol. Krankenhäuser, Schulen, Finanzunternehmen und kritische Infrastrukturen seien ins Visier genommen worden, stellte das DOJ fest.
Es war eine der produktivsten Ransomware-Stämme, wie Chainalysis betonte, die seit ihrer Einführung im Jahr 2021 mindestens 100 Millionen US-Dollar von Opfern gesammelt hat Prüfbericht von der Blockchain-Forensik-Firma enthüllt, dass Einnahmen aus solchen Angriffen hat verringert im vergangenen Jahr, mit einer wachsenden Zahl betroffener Organisationen, die sich weigern, die geforderten Lösegelder zu zahlen.
Laut den Ankündigungen der Strafverfolgungsbehörden drang das US Federal Bureau of Investigation (FBI) im Juli 2022 in die Computer von Hive ein und erbeutete seine Entschlüsselungsschlüssel, die sie Opfern auf der ganzen Welt zur Verfügung stellten, was sie daran hinderte, weitere 130 Millionen Dollar zu zahlen.
In Zusammenarbeit mit der deutschen Bundespolizei und der niederländischen High-Tech-Kriminalitätseinheit hat das Bureau nun die Kontrolle über die Server und Websites übernommen, die Hive verwendet hat, um mit seinen Mitgliedern und den Opfern zu kommunizieren, einschließlich der Darknet Domäne, auf der die gestohlenen Daten manchmal gepostet wurden. FBI-Direktor Christopher Wray wurde mit den Worten zitiert:
Die koordinierte Unterbrechung der Computernetzwerke von Hive … zeigt, was wir erreichen können, wenn wir eine unermüdliche Suche nach nützlichen technischen Informationen kombinieren, um sie mit den Opfern zu teilen.
Die Hive-Ransomware wurde von Entwicklern erstellt, gewartet und aktualisiert, während sie von verbundenen Unternehmen in einem „Ransomware-as-a-Service“ (RaaS) Modell der doppelten Erpressung, erklärte Europol. Die verbundenen Unternehmen kopierten zunächst die Daten und verschlüsselten dann die Dateien, bevor sie ein Lösegeld forderten, um die Informationen zu entschlüsseln und sie nicht auf der Leckseite zu veröffentlichen.
Die Angreifer nutzten verschiedene Schwachstellen aus und verwendeten eine Reihe von Methoden, darunter Single-Factor-Logins über das Remote Desktop Protocol (RDP), virtuelle private Netzwerke (VPNs) und andere Remote-Netzwerkverbindungsprotokolle sowie Phishing-E-Mails mit bösartigen Anhängen, so die Strafverfolgungsbehörden detailliert.
Erwarten Sie, dass Polizeibehörden auf der ganzen Welt in naher Zukunft weitere Ransomware-Netzwerke zerschlagen werden? Sagen Sie es uns im Kommentarbereich unten.
Bildnachweis: Shutterstock, Pixabay, WikiCommons
