Immer wieder die Ukraine. In einer Aktion mit der Polizei in der Ukraine ist es internationalen Strafverfolgern, u.a. Europol und Eurojust, gelungen, den Kopf einer Bande von Cyberkriminellen und weitere Mitglieder der Gruppe zu verhaften. Die Gruppe ist verantwortlich für Cyberangriffe auf 71 Ländern mit Schadsoftware wie LockerGoga, MegaCortex, HIVE und Dharma. Die Verhaftungen schließen sich an die Zerschlagung der HIVE-Infrastruktur im Frühjahr 2023 an.
Anzeige
Laut einer gemeinsamen Pressemitteilung der Staatsanwaltschaft Stuttgart und des Polizeipräsidiums Reutlingen wurden am 21.11.2023 in der Ukraine mehrere Tatverdächtige festgenommen. Diese Verhaftungen folgen auf den "Takedown" der Infrastruktur des "HIVE"-Netzwerks im Januar 2023.
Ich hatte im im Blog-Beitrag Hive Ransomware-Infrastruktur von Strafverfolgern beschlagnahmt (Jan. 2023) über diese Aktion der Strafverfolger berichtet. Dabei wurde "Eine Vielzahl von Servern wurden beschlagnahmt, Daten und Accounts des Netzwerks und seiner Nutzer gesichert", erklärten die Staatsanwaltschaft Stuttgart und das Polizeipräsidium Reutlingen seinerzeit. Beide Organisationen waren bei dieser Operation federführend. Offenbar haben die Auswertungen Früchte getragen.
Verhaftungen in der Ukraine
Mit Hilfe der in der damaligen "Operation Dawnbreaker" gesicherten Daten und Accounts des Netzwerks HIVE und seiner Nutzer führten zahlreiche Sicherheitsbehörden aus Europa und den USA intensive Ermittlungen, um die im Darknet operierenden Täter zu identifizieren, heißt es in der Pressemitteilung. Eine Spur führte zu mehreren Tatverdächtigen in der Ukraine. Dazu gehört unter anderem ein 32-Jähriger, dem eine führende Rolle einer unter anderem hinter dem HIVE-Netzwerk agierenden Gruppierung zugeschrieben wird.
Am 21. November 2023 wurden in der Ukraine eine Vielzahl von Objekten durchsucht. Der 32-Jährige und vier mutmaßliche Komplizen wurden festgenommen. Sie sollen unter anderem für weltweit mehrere hundert dem Netzwerk HIVE zugeordnete, schwerste Cyberangriffe und Erpressungen, unter anderem in Baden-Württemberg, verantwortlich sein.
Anzeige
Bei einem der Beschuldigten konnte im Rahmen der Einsatzmaßnahmen ein hoher sechsstelliger Betrag in Kryptowährung sichergestellt werden. Erste Analysen bestätigten, dass ein Teil dieser Summe aus Lösegeldzahlungen von angegriffenen Unternehmen an die HIVE-Gruppierung stammt.
Arbeitsteilung in der Gruppe
Die Verdächtigen hatten unterschiedliche Rollen in dieser kriminellen Organisation inne. Einige von ihnen sollen an der Kompromittierung der IT-Netzwerke ihrer Ziele beteiligt gewesen sein, während andere im Verdacht stehen, für das Waschen von Kryptowährungszahlungen, die von den Opfern für die Entschlüsselung ihrer Dateien geleistet wurden, zuständig gewesen zu sein.
Die für den Einbruch in die Netzwerke verantwortlichen Täter setzten dabei Techniken wie Brute-Force-Angriffe, SQL-Injektionen und das Versenden von Phishing-E-Mails mit bösartigen Anhängen ein, um Benutzernamen und Kennwörter zu stehlen.
Sobald sie in die Netzwerke eingedrungen waren, blieben die Angreifer unentdeckt und verschafften sich mit Hilfe von Tools wie TrickBot-Malware, Cobalt Strike und PowerShell Empire zusätzlichen Zugang, um so viele Systeme wie möglich zu kompromittieren, bevor sie Ransomware-Angriffe auslösten. Die Ermittlungen ergaben, dass die Täter über 250 Server großer Unternehmen verschlüsselten, wodurch ein Schaden von mehreren hundert Millionen Euro entstand.
Internationale Kooperation trägt Früchte
Im Wege eines internationalen Rechtshilfeersuchens hatten die ukrainischen Justizbehörden die Staatsanwaltschaft Stuttgart wie auch weitere Strafverfolgungsbehörden aus Europa und den USA um Unterstützung gebeten. Daher waren an den Einsatzmaßnahmen in der Ukraine auch Cyberspezialisten der Kriminalpolizeidirektion Esslingen, unterstützt vom Landeskriminalamt Baden-Württemberg, vor Ort beteiligt.
Laut Europol waren mehr als 20 Ermittler aus Norwegen, Frankreich, Deutschland und den Vereinigten Staaten aktiv und wurden nach Kiew entsandt, um die ukrainische Nationalpolizei bei ihren Ermittlungsmaßnahmen zu unterstützen. Diese Einrichtung wurde vom Europol-Hauptquartier in den Niederlanden aus gespiegelt, wo ein virtueller Kommandoposten aktiviert wurde, um die bei den Hausdurchsuchungen in der Ukraine beschlagnahmten Daten sofort zu analysieren. Die internationalen Ermittlungen zu weiteren Tatverdächtigen dauern an.
"Erneut hat die länderübergreifende Zusammenarbeit Früchte getragen. Nach der Infiltration der IT-Struktur und der Zerschlagung des Netzwerkes HIVE im Januar werden nun die Täter sukzessiv zur Verantwortung gezogen. Das ist die richtige Antwort auf diese in hohem Maße schädliche Form der organisierten Cyberkriminalität. Wir zerschlagen nicht nur die kriminellen Netzwerke, wir werden auch den Tätern habhaft. Keiner kann sich in Sicherheit wiegen. Den jetzigen Festnahmen werden sicherlich weitere folgen," sagte Polizeipräsident Vogel am 27.11.2023 in Reutlingen.
Leitender Oberstaatsanwalt Dr. Joachim Dittrich hob die besondere Bedeutung der internationalen Zusammenarbeit der Ermittlungsbehörden sowohl auf polizeilicher Ebene als auch auf justizieller Ebene hervor. "Für die hochprofessionell, arbeitsteilig und konspirativ auftretenden Täter existieren bei ihrer Tatausführung keine Ländergrenzen. Der Bedrohung und dem Schaden für die Wirtschaft durch Cyberangriffe können die Ermittlungsbehörden nur im gemeinsamen Schulterschluss über Staats- und Unionsgrenzen hinweg wirksam begegnen. Die durchgeführten Maßnahmen zeigen, dass der vertrauensvolle und direkte Draht zwischen den Behörden der Schlüssel zum Erfolg der Aufklärung von Cybercrimestraftaten ist", sagte Dr. Dittrich
Hintergrund zu HIVE
Die Gruppierung "HIVE" soll im arbeitsteiligen Zusammenwirken mit mehreren, unterhalb der Ebene der HIVE-Administratoren eigenständig agierenden Tätergruppierungen seit mehreren Jahren schwerste Straftaten im Bereich der Cyberkriminalität verübt haben, schreiben die Ermittler. Allein einer besonders aktiven Tätergruppierung, der die nun Festgenommenen teilweise angehören sollen, werden aktuell weltweit mehrere hundert, oft die Existenz der betroffenen Unternehmen bedrohende Cyberangriffe vorgeworfen. Auch zwei schwerwiegende Angriffe auf Ziele im Landkreis Esslingen und im Bodenseekreis in Baden-Württemberg sowie weitere zwölf Fälle im Bundesgebiet werden der Gruppierung nach derzeitigem Stand zugerechnet.
Während "HIVE" im Rahmen des als "Ransomware as a service" bezeichneten Geschäftsmodells die für die Straftaten notwendige Infrastruktur und sonstige Dienste gegen eine Gebühr in Höhe von 20 Prozent des späteren Erlöses zur Verfügung stellte und auch die Lösegeldverhandlungen mit den erpressten Geschädigten führte, waren die Hacker der Gruppierungen hinter HIVE diejenigen, die in die IT der Geschädigten eindrangen, diese ausspionierten, Daten verschlüsselten und regelmäßig zuvor auch entwendeten.
Ähnliche Artikel:
Decryptor für Hive Ransomware v1 bis v4 verfügbar
Hive-Ransomware-Gang erbeutete 100 Millionen von 1.300 Opfern (u.a. Media Markt)
Media Markt/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ Lösegeldforderung
Anatomie eines Hive Ransomware-Angriffs auf Exchange per ProxyShell
Hive Ransomware-Infrastruktur von Strafverfolgern beschlagnahmt (Jan. 2023)
Anzeige
Ich bin sehr postiv überrascht von der Ukraine! Die sind mitten im Krieg und nebenher sperren die noch ein paar Blackhats weg.