Es ist der nächste Schlag gegen Cyberkriminelle. Strafverfolger aus den USA (FBI), Großbritannien und Deutschland ist es gelungen, die Infrastruktur der Ransomwaregruppe Radar/Dispossessor zu zerschlagen. Bei der Operation wurde umfangreiches Beweismaterial sichergestellt und die Strafverfolger konnten die Identität von 12 mutmaßlichen Mitglieder dieser Gruppe ermitteln. Inzwischen läuft die Fahndung nach diesen mutmaßlichen Tätern.
Anzeige
FBI gibt Zerschlagung bekannt
Das FBI Cleveland gibt in dieser Meldung vom 12. August 2024 bekannt, dass es gelungen sei, die Infrastruktur der kriminellen Ransomware-Gruppe mit dem Online-Namen "Brain" ("Radar/Dispossessor") zu zerschlagen. Dabei wurden drei US-Server, drei Server in Großbritannien, und 18 deutsche Server der Gruppe ermittelt und beschlagnahmt. Gleiches gilt für acht kriminelle Domains in den USA und eine kriminelle Domain in Deutschland, die von der Gruppe benutzt wurde.
Die Generalstaatanwaltschaft Bamberg schreibt in dieser Pressemitteilung dass in Deutschland 17, in Großbritannien drei und in den USA fünf Server beschlagnahmt und acht kriminell genutzte Domains unschädlich gemacht wurden. Die genutzte IT-Infrastruktur der international agierenden Kriminellen wurde beschlagnahmt und damit vom Netz genommen. Der Fokus liegt nun darauf, weitere Tatverdächtige zu identifizieren und Erkenntnisse zu anderen geschädigten Unternehmen zu gewinnen. Wodurch sich diese Diskrepanz ergibt, ist mir aktuell unklar.
Die Ermittlungen führten, laut Generalstaatanwaltschaft Bamberg, zu insgesamt zwölf identifizierten Tätern aus der Ukraine, Russland, Kenia, Serbien, Litauen, und den Vereinigten Arabischen Emiraten. Einem der Täter werden konkrete Taten in der Bundesrepublik Deutschland vorgeworfen, ein internationaler Haftbefehl durch das Amtsgericht Bamberg wurde erlassen. Die weiteren Tatverdächtigen verübten ihre Straftaten zum Nachteil außerdeutscher Geschädigter, weshalb deren Strafverfolgung in den jeweiligen Ländern betrieben wird. Die ZCB wirft den Tatverdächtigen die banden- und gewerbsmäßige Erpressung, sowie die Bildung einer kriminellen Vereinigung vor.
Ransomwaregruppe Radar/Dispossessor
Mir war die Ransomware-Gruppe bisher nicht aufgefallen. Laut Strafverfolger gründete sich die Gruppe im August 2023. Seit ihrer Gründung hat sich Radar/Dispossessor aber schnell zu einer international agierenden Ransomware-Gruppe entwickelt. Die Cyberkriminellen zielen auf kleine bis mittelgroße Unternehmen und Organisationen aus den Bereichen Produktion, Entwicklung, Bildung, Gesundheitswesen, Finanzdienstleistungen und Transportwesen.
Anzeige
Ursprünglich konzentrierte sich die Untersuchung des FBI Cleveland auf angegriffene Einrichtungen in den Vereinigten Staaten. Dann wurden 43 Unternehmen aus Ländern wie Argentinien, Australien, Belgien, Brasilien, Honduras, Indien, Kanada, Kroatien, Peru, Polen, dem Vereinigten Königreich, den Vereinigten Arabischen Emiraten und Deutschland als Opfer der Angriffe entdeckt. Bei seinen Ermittlungen hat das FBI eine Vielzahl von Websites identifiziert, die mit Brain und seinem Team in Verbindung stehen.
Die Radar Ransomware-Gruppe verfolgt das gleiche duale Erpressungsmodell wie andere Ransomware-Varianten. Zusätzlich zur Verschlüsselung der Opfersysteme werden die Daten der Opfer vorher exfiltriert, um Lösegeld zu fordern. Die Ransomware identifiziert neue Opfer und greift sie an, während sie die bestehenden Opfer erneut schädigt, schreibt das FBI.
Radar/Dispossessor nutzte anfällige Computersysteme, schwache Passwörter und eine fehlende Zwei-Faktor-Authentifizierung, um Unternehmen als Opfer zu identifizieren und dann anzugreifen. Sobald die Kriminellen Zugang zu den Systemen hatten, verschafft sie sich Administratorrechte und konnten problemlos auf die Dateien zugreifen.
Die eigentliche Ransomware wurde dann für die Verschlüsselung verwendet. Dadurch konnten die Unternehmen nicht mehr auf ihre eigenen Daten zugreifen. Wenn sich das angegriffene Unternehmen nicht mit dem kriminellen Akteur in Verbindung setzte, kontaktierte die Gruppe proaktiv andere Mitarbeiter des Unternehmens, entweder per E-Mail oder per Telefon. Die E-Mails enthielten auch Links zu Videoplattformen, auf denen die zuvor gestohlenen Dateien präsentiert wurden. Dies geschah immer mit dem Ziel, den Erpressungsdruck zu erhöhen und die Zahlungsbereitschaft zu steigern.
Schließlich kündigten die Angreifer die Kompromittierung auf einer separaten Leak-Seite an und setzten einen Countdown bis zur öffentlichen Freigabe der Opferdaten, falls kein Lösegeld gezahlt würde. The Hacker news hat hier noch einige Informationen zur Ransomware-Gruppe veröffentlicht.
Auf X bin ich auf diesen Tweet gestoßen. Die britische Polizei hat einen Mann mit dem Namen J.P. Morgan (ist ein Alias-Name) verhaftet. J.P. Morgan gilt als einer der Hauptakteure hinter der Reveton Ransomware Group, dem Ransomware Cartel und dem Angler Exploit Kit, mit denen weltweit Millionen von Dollar erpresst wurden. Der Beitrag hier hat mehr Details.
Anzeige
Und wieder wird ein"Beschlagnahmung von Infrastruktur" als Riesenerfolg stilisiert… Nein ist es nicht, die zieht man anderswo wieder neu auf! Solange die Betreiber nicht hinter Gitter sitzen ist das nur Augenwischerei!
Amen!
Wie ist "die Betreiber" zu verstehen?
Muss ja auch ziemlich verlockend für Blackheads sein, wenn es noch solche Bananenrepubliken wie DE gibt, wo zwar viel Kohle für sowas wie das BSI verballert wird, die sich dann aber nichtmal zuständig fühlen, wenn ein Provider gegen die Grundlagen der IT-Sicherheit verstößt – und wo irgendwelche Träumer davon labern,
dass ihre ePA natürlich ganz toll und extra sicher ist, weil man das für so viel Geld ja wohl erwarten können dürfte…
Uff, wie die Politiker unserer Regierung es blos schaffen, noch Zeit zum Scheiße labern zu finden, obwohl sie eigentlich 24 Stunden am Tag vor Blödheit schreien müssten!?
>Life is sometimes a miracle<