Cyberkriminelle werden durch die Stillegung der Ransomware Hive-Infrastruktur gestoppt

Europol unterstützte die deutschen, niederländischen und US-amerikanischen Behörden bei der Ausschaltung der Infrastruktur der weit verbreiteten Ransomware HIVE. An dieser internationalen Operation waren Behörden aus insgesamt 13* Ländern beteiligt. Die Strafverfolgungsbehörden identifizierten die Entschlüsselungsschlüssel und gaben sie an viele der Opfer weiter, damit diese wieder Zugang zu ihren Daten erhielten, ohne die Cyberkriminellen zu bezahlen.

HIVE.JPG
Cyberkriminelle werden durch die Stillegung der Ransomware Hive-Infrastruktur gestoppt. ©Europol

Im letzten Jahr wurde die Ransomware HIVE als große Bedrohung identifiziert, da sie zur Kompromittierung und Verschlüsselung der Daten und Computersysteme großer multinationaler IT- und Ölkonzerne in der EU und den USA eingesetzt wurde. Seit Juni 2021 sind mehr als 1 500 Unternehmen aus über 80 Ländern weltweit Opfer von HIVE-Assoziierten geworden und haben fast 100 Millionen Euro an Lösegeldzahlungen verloren. Partner führten die Cyberangriffe aus, aber die Ransomware HIVE wurde von Entwicklern erstellt, gewartet und aktualisiert. Die Partner nutzten das doppelte Erpressungsmodell der “Ransomware-as-a-Service”: Zunächst kopierten sie Daten und verschlüsselten die Dateien dann. Dann verlangten sie ein Lösegeld, um die Dateien zu entschlüsseln und die gestohlenen Daten nicht auf der Hive Leak Site zu veröffentlichen. Als die Opfer zahlten, wurde das Lösegeld zwischen Partnern (die 80 % erhielten) und Entwicklern (die 20 % erhielten) aufgeteilt.

Auch andere gefährliche Ransomware-Gruppen haben in den letzten Jahren dieses so genannte Ransomware-as-a-Service (RaaS)-Modell genutzt, um komplexe Angriffe zu verüben. Dabei wurden Lösegelder in Millionenhöhe gefordert, um betroffene Systeme zu entschlüsseln, häufig in Unternehmen, die kritische Infrastrukturen unterhalten. Seit Juni 2021 haben Kriminelle die Ransomware HIVE eingesetzt, um ein breites Spektrum von Unternehmen und kritischen Infrastrukturen anzugreifen, darunter Regierungseinrichtungen, Telekommunikationsunternehmen, die Fertigungsindustrie, die Informationstechnologie sowie das Gesundheits- und Sozialwesen. Bei einem größeren Angriff hatten es HIVE-Mitglieder auf ein Krankenhaus abgesehen, was schwerwiegende Auswirkungen auf den Umgang des Krankenhauses mit der COVID-19-Pandemie zur Folge hatte. Aufgrund des Angriffs musste das Krankenhaus auf analoge Methoden zurückgreifen, um bestehende Patienten zu behandeln, und war nicht in der Lage, neue Patienten aufzunehmen.

Die Mitgliedsorganisationen griffen Unternehmen auf unterschiedliche Weise an. Einige HIVE-Akteure verschafften sich Zugang zu den Netzwerken der Opfer, indem sie Single-Factor-Logins über das Remote Desktop Protocol, virtuelle private Netzwerke und andere Remote-Netzwerkverbindungsprotokolle verwendeten. In anderen Fällen umgingen die HIVE-Akteure die Multifaktor-Authentifizierung und verschafften sich Zugang, indem sie Sicherheitslücken ausnutzten. Dies ermöglichte es böswilligen Cyberkriminellen, sich ohne die Aufforderung zur Eingabe des zweiten Authentifizierungsfaktors des Benutzers anzumelden, indem sie die Groß- und Kleinschreibung des Benutzernamens änderten. Einige HIVE-Akteure verschafften sich auch einen ersten Zugang zu den Netzwerken der Opfer, indem sie Phishing-E-Mails mit bösartigen Anhängen verbreiteten und die Schwachstellen der Betriebssysteme der angegriffenen Geräte ausnutzten.

Rund 120 Mio. EUR dank Schutzmaßnahmen eingespart

Europol hat die Bemühungen zur Schadensbegrenzung mit anderen EU-Ländern koordiniert und so verhindert, dass Privatunternehmen Opfer der Ransomware HIVE wurden. Die Strafverfolgungsbehörden lieferten den Entschlüsselungscode an kompromittierte Unternehmen, damit diese ihre Daten entschlüsseln konnten, ohne das Lösegeld zu bezahlen. Dadurch konnten Lösegeldzahlungen in Höhe von mehr als 130 Mio. USD oder umgerechnet etwa 120 Mio. EUR verhindert werden.

Europol erleichterte den Informationsaustausch, unterstützte die Koordinierung der Operation und finanzierte operative Sitzungen in Portugal und den Niederlanden. Europol leistete auch analytische Unterstützung, indem es verfügbare Daten mit verschiedenen Kriminalfällen innerhalb und außerhalb der EU verknüpfte, und unterstützte die Ermittlungen durch Kryptowährung, Malware, Entschlüsselung und forensische Analysen.

An den Einsatztagen setzte Europol vier Experten ein, um die Aktivitäten vor Ort zu koordinieren. Europol unterstützte die beteiligten Strafverfolgungsbehörden durch die Koordinierung der Kryptowährungs- und Malware-Analysen, den Abgleich operativer Informationen mit den Datenbanken von Europol sowie durch weitere operative Analysen und forensische Unterstützung. Es wird erwartet, dass die Analyse dieser Daten und anderer damit verbundener Fälle weitere Ermittlungsaktivitäten auslösen wird. Die Joint Cybercrime Action Taskforce (J-CAT) bei Europol unterstützte die Operation ebenfalls. Dieses ständige operative Team besteht aus Verbindungsbeamten für Cyberkriminalität aus verschiedenen Ländern, die an hochkarätigen Ermittlungen im Bereich der Cyberkriminalität arbeiten.

*Beteiligte Strafverfolgungsbehörden

Kanada – Royal Canadian Mounted Police (RCMP) & Peel Regional Police
Frankreich: Nationale Polizei (Police Nationale)
Deutschland: Bundeskriminalamt (BKA) und Polizeipräsidium Reutlingen – Kripo Esslingen (Polizei BW)
Irland: Nationale Polizei (An Garda Síochána)
Litauen: Büro der Kriminalpolizei (Kriminalinės Policijos Biuras)
Niederlande – Nationale Polizei (Politie)
Norwegen: Nationale Polizei (Politiet)
Portugal: Gerichtliche Polizei (Polícia Judiciária)
Rumänien: Rumänische Polizei (Poliția Română – DCCO)
Spanien: Spanische Polizei (Policía Nacional)
Schweden: Schwedische Polizei (Polisen)
Vereinigtes Königreich – National Crime Agency
USA – Geheimdienst der Vereinigten Staaten, Federal Bureau of Investigations