Über 250 Server verschlüsselt: Polizei verhaftet mutmaßliche Ransomware-Hacker
Im Rahmen einer internationalen Strafverfolgungsoperation ist es Ermittlungsbeamten aus sieben verschiedenen Ländern zusammen mit Europol und Eurojust gelungen, in der Ukraine mehrere mutmaßliche Schlüsselfiguren hinter dem RaaS-Angebot (Ransomware as a Service) Hive festzunehmen. Die Gruppe stecke hinter mehreren hochkarätigen Cyberangriffen, die Schäden in Höhe von mehreren Hundert Millionen Euro zur Folge hatten, heißt es in einer Pressemitteilung von Europol(öffnet im neuen Fenster) .
An der Operation beteiligt waren demnach mehr als 20 Ermittler aus Norwegen, Frankreich, den Niederlanden, der Ukraine, der Schweiz, den USA und auch Deutschland, die nach Kiew entsandt wurden, um die ukrainische Nationalpolizei bei ihren Ermittlungsarbeiten zu unterstützen. Die Staatsanwaltschaft Stuttgart und das Polizeipräsidium Reutlingen haben ebenfalls eine gemeinsame Pressemitteilung(öffnet im neuen Fenster) zu den jüngsten Ereignissen geteilt.
30 Hausdurchsuchungen in der Ukraine
Laut Europol wurden am 21. November in den Regionen Kiew, Tscherkassy, Riwne und Winnyzja insgesamt 30 Hausdurchsuchungen durchgeführt. Dabei sei es den Ermittlern gelungen, den 32-jährigen Anführer der Hackergruppe zu verhaften, ebenso wie vier seiner aktivsten Komplizen. In den Niederlanden sei ein virtueller Kommandoposten eingerichtet worden, um beschlagnahmte Daten unmittelbar zu analysieren.
Den festgenommenen Personen wird vorgeworfen, an Ransomware-Angriffen auf Organisationen in 71 Ländern beteiligt gewesen zu sein. "Die Ermittlungen ergaben, dass die Täter über 250 Server großer Unternehmen verschlüsselten, wodurch ein Schaden von mehreren Hundert Millionen Euro entstand" , heißt es in der Mitteilung von Europol. Auch IT-Systeme der Stadt Potsdam und der Media-Markt-Saturn-Gruppe wurden in der Vergangenheit mit der Hive-Ransomware verschlüsselt.
Durch forensische Analysen identifiziert
Erste Verhaftungen im Zusammenhang mit der Hive-Ransomware gab es wohl schon im Jahr 2021 – ebenfalls in der Ukraine. Durch forensische Analysen der dabei sichergestellten Geräte sei es den Ermittlern gelungen, weitere Verdächtige zu identifizieren, heißt es weiter bei Europol. Das habe letztendlich auch die jüngsten Festnahmen ermöglicht.
Neben Hive sollen die mutmaßlichen Hacker auch noch andere Ransomware eingesetzt haben, darunter Lockergoga, Megacortex und Dharma. Ferner habe die Gruppe auf Brute-Force-Angriffe, SQL-Injections und Phishing-E-Mails zurückgegriffen, um fremde Benutzerkonten zu übernehmen und in die Netzwerke ihrer Zielorganisationen einzudringen. Innerhalb dieser Netzwerke seien weitere Hackertools wie Trickbot, Cobalt Strike und Powershell Empire zum Einsatz gekommen, um möglichst viele Systeme zu kompromittieren.