[English]Strafverfolger von Europol, des BKA, des FBI und weiterer internationaler Polizeibehörden haben die Webseite der RagnarLocker Ransomware-Gang, über die Verhandlungen über Lösegeldzahlungen mit Opfern geführt wurden, beschlagnahmt. Man hofft so, die Ransomware-Gruppe von ihrer Finanzierungsmöglichkeit abzuschneiden. Aktuell liegen noch keine offiziellen Verlautbarungen vor – die sollen im Laufe des Tages veröffentlicht werden. Ergänzung: Es gibt eine Information von Europol.
Anzeige
Webseite beschlagnahmt
Ich bin unter anderem über folgenden Post auf Mastodon auf den Sachverhalt gestoßen. Dort heißt es, dass das Dark-Web-Portal der Ransomware-Gruppe RagnarLocker im Rahmen einer internationalen Razzia beschlagnahmt wurde.
Der Mastodon-Post verlinkt auf einen Beitrag von Techcrunch, wo es heißt, dass Europol seine Beteiligung an der Beschlagnahmeaktion gegenüber TechCrunch bestätigte habe. Eine offizielle Ankündigung werde erfolgen, sobald "alle Maßnahmen abgeschlossen sind".
Auf der Webseite der RagnarLocker-Ransomware-Gruppe im Dark-Web heißt es nun, dass "dieser Dienst im Rahmen einer koordinierten internationalen Strafverfolgungsaktion gegen die RagnarLocker-Gruppe beschlagnahmt wurde". Laut der Beschlagnahmungsmitteilung waren an der Operation Strafverfolgungsbehörden aus den Vereinigten Staaten, der Europäischen Union und Japan beteiligt.
Anzeige
Aktuell ist das Ausmaß der Operation noch nicht bekannt. Es ist auch unklar, ob auch die Infrastruktur der RagnarLocker-Ransomware-Gruppe beschlagnahmt werden konnte, ob es zu Verhaftungen kam oder ob gestohlene Gelder wiedergefunden wurden.
Europol-Sprecherin Claire Georges bestätigte gegenüber TechCrunch, dass die Agentur an "laufenden Maßnahmen gegen diese Ransomware-Gruppe" beteiligt sei. Die Sprecherin sagte, dass Europol plant, die Zerschlagung am Freitag bekannt zu geben, "wenn alle Maßnahmen abgeschlossen sind." Ein ungenannter Sprecher der italienischen Staatspolizei bestätigte ebenfalls, dass Details der Operation am Freitag veröffentlicht werden. Ein namentlich nicht genannter FBI-Sprecher lehnte eine Stellungnahme ab.
RagnarLocker erklärt
Die Kollegen von Bleeping Computer haben hier einige Informationen zu RagnarLocker zusammen getragen. RagnarLocker ist eine der am längsten operierenden Ransomware-Gruppe, die ihre Tätigkeit Ende 2019 begann. Die Gruppe zielt auf Unternehmen und versucht in deren Unternehmensnetzwerke eindringen, um sich denn lateral auf andere Geräte auszubreiten. Während dieser Phase werden Daten und an die CC-Server der Gruppe übertragen. Dann werden die Dateien der infizierten Rechner verschlüsselt.
Die verschlüsselten Dateien und gestohlenen Daten wurden dann von der Gruppe als Druckmittel genutzt, um die Opfer zu erpressen und zur Zahlung von Lösegeld zu zwingen. Durch das Lösegeld sollte die Möglichkeit zum Entschlüsseln der Dateien erworben werden können. Zudem sollte diese Lösegeldzahlung die Veröffentlichung von Daten verhindern.
The Register schreibt hier, dass eine bekannte Taktik von RagnarLocker darin bestand, die Opfer davon abzuhalten, die Strafverfolgungsbehörden im eigenen Land zu kontaktieren. Diese Tatsache macht die jüngste Razzia laut Jake Moore, Global Cybersecurity Advisor bei ESET, zu etwas ganz Besonderem.
"Jede Razzia durch Europol ist bedeutsam und beeindruckend, aber diese scheint aufgrund ihres russischen Ursprungs ein besonderes Ansehen zu genießen und spiegelt die Macht des Versuchs wider, die Hilfe der Strafverfolgungsbehörden zu unterdrücken", so Moore gegenüber The Register. Er ergänzt: "In der Vergangenheit hat RagnarLocker seine Opfer davor gewarnt, sich wegen der Lösegeldforderungen an die Polizei oder das FBI zu wenden, da sie sonst mit der Veröffentlichung ihrer Daten rechnen mussten. Daher wird diese Aktion ein zusätzlicher Schlag für die Ransomware-Gruppe sein, die offensichtlich einen Streit mit den Behörden hat."
Ergänzung: Europol hat nun Informationen über die Aktion bereitgestellt. Zwischen dem 16. und 20. Oktober wurden, von Europol und Eurojust koordiniert, Durchsuchungen in Tschechien, Spanien und Lettland durchgeführt.
Das "Hauptziel", der Entwickler des bösartigen Ragnar Locker Ransomware-Stammes wurde am 16. Oktober in Paris, Frankreich, verhaftet, und sein Haus in Tschechien wurde durchsucht. In den darauffolgenden Tagen wurden fünf Verdächtige in Spanien und Lettland befragt. Am Ende der Aktionswoche wurde der Haupttäter, der verdächtigt wird, ein Entwickler der Ragnar-Gruppe zu sein, den Untersuchungsrichtern des Pariser Gerichts vorgeführt.
Die Infrastruktur der Ransomware wurde auch in den Niederlanden, Deutschland und Schweden beschlagnahmt und die zugehörige Tor-Website zum Datenleck in Schweden abgeschaltet.
Anzeige
also nur die Website? Was hintert die Ganoven daran einfach eine neue zu öffnen?
Das dauert keine 5 Minuten. Dann auch noch im Darkweb… LOL
Für "Das Internet muss stärker reguliert und sicherer werden" Argumentation und Schlagzeilen. Siehe auch DSA oder Cyber Polygon.