{"id":258930,"date":"2021-10-29T15:41:49","date_gmt":"2021-10-29T13:41:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258930"},"modified":"2021-10-29T19:35:27","modified_gmt":"2021-10-29T17:35:27","slug":"europol-zerschlgt-ransomware-gruppe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/10\/29\/europol-zerschlgt-ransomware-gruppe\/","title":{"rendered":"Europol zerschlägt Ransomware-Gruppe"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Europol ist ein neuer Schlag gegen Cyber-Kriminelle in verschiedenen L\u00e4ndern gelungen, die Unternehmen und Organisationen mit Ransomware erpresst haben. Den 12 Verd\u00e4chtigen wird vorgeworfen, 1.800 Opfer in 71 L\u00e4ndern mit Ransomware infiziert und dann L\u00f6segeld erpresst zu haben. Ermittler griffen am Dienstag dieser Woche in der Ukraine und in der Schweiz zu und konnten Bargeld, Luxus-Autos und weiteres Beweismaterial sicherstellen.<\/p>\n

<\/p>\n

\"\"Europol<\/a> und die europ\u00e4ische Justizbeh\u00f6rde Eurotrust<\/a> haben dies am heutigen Freitag in entsprechenden Presseerkl\u00e4rungen mitgeteilt. Nachfolgender Tweet<\/a> von Europol weist auf diesen Sachverhalt hin.<\/p>\n

\"Europol<\/a><\/p>\n

Verd\u00e4chtige identifiziert<\/h2>\n

Den Ermittlern gelang es, insgesamt 12 Personen, die weltweit mit Ransomware-Angriffen auf kritische Infrastrukturen Schaden angerichtet haben, im Rahmen einer Operation der Strafverfolgungs- und Justizbeh\u00f6rden in acht L\u00e4ndern ins Visier zu nehmen. Es wird von den Ermittlern angenommen, dass diese Beschuldigten f\u00fcr Ransomware-Angriffe auf \u00fcber 1 800 Opfer (u.a. Norsk Data) in 71 L\u00e4ndern verantwortlich sind. Die Cyber-Akteure sind daf\u00fcr bekannt, dass sie gezielt gro\u00dfe Unternehmen per Ransomware angreifen und deren Gesch\u00e4ftst\u00e4tigkeit zum Erliegen bringen.<\/p>\n

Aktionen gegen die Verd\u00e4chtigen<\/h2>\n

In den fr\u00fchen Morgenstunden des 26. Oktober 2021 fanden Aktionen der Strafverfolger in der Ukraine und der Schweiz statt. Die meisten dieser Verd\u00e4chtigen gelten als hochrangige Zielpersonen, da gegen sie in mehreren hochkar\u00e4tigen F\u00e4llen in verschiedenen Rechtsordnungen ermittelt wird. Am Aktionstag wurden \u00fcber 52 000 US-Dollar in bar sowie 5 Luxusfahrzeuge beschlagnahmt. Eine Reihe elektronischer Ger\u00e4te wird derzeit forensisch untersucht, um Beweise zu sichern und neue Ermittlungsans\u00e4tze zu ermitteln.<\/p>\n

Netzwerk an Cyber-Kriminellen<\/h2>\n

Die ins Visier genommenen Verd\u00e4chtigen hatten unterschiedliche Funktionen in diesen professionellen, gut organisierten kriminellen Organisationen. Einige dieser Kriminellen bem\u00fchten sich um das Eindringen in das Netzwerk und nutzten mehrere Mechanismen, um IT-Netzwerke zu kompromittieren, darunter Brute-Force-Angriffe, SQL-Injektionen, gestohlene Anmeldedaten und Phishing-E-Mails mit b\u00f6sartigen Anh\u00e4ngen.<\/p>\n

Sobald sie in das Netzwerk eingedrungen waren, konzentrierten sich einige dieser Cyber-Akteure darauf, sich seitlich zu bewegen und Malware wie Trickbot oder Post-Exploitation-Frameworks wie Cobalt Strike oder PowerShell Empire einzusetzen, um unentdeckt zu bleiben und weiteren Zugang zu erhalten.<\/p>\n

Die Kriminellen verharren dann manchmal monatelang unentdeckt in den kompromittierten Systemen und suchen nach weiteren Schwachstellen in den IT-Netzwerken, bevor sie die Infektion durch den Einsatz einer Ransomware zu Geld machen. Es ist bekannt, dass diese Cyber-Akteure unter anderem LockerGoga, MegaCortex und Dharma Ransomware eingesetzt haben.<\/p>\n

Die Auswirkungen der Ransomware-Angriffe waren verheerend, da die Kriminellen Zeit hatten, die IT-Netzwerke unentdeckt zu erkunden. Den Opfern wurde dann eine L\u00f6segeldforderung vorgelegt, in der sie aufgefordert wurden, den Angreifern im Austausch f\u00fcr Entschl\u00fcsselungsschl\u00fcssel Bitcoin zu zahlen.<\/p>\n

Einige der verh\u00f6rten Personen werden verd\u00e4chtigt, f\u00fcr die Geldw\u00e4sche der L\u00f6segeldzahlungen verantwortlich zu sein: Sie schleusten die Bitcoin-L\u00f6segeldzahlungen durch Mischdienste, bevor sie die unrechtm\u00e4\u00dfig erworbenen Gewinne in bar auszahlten.<\/p>\n

Kooperation der Strafverfolger<\/h2>\n

Auf Initiative der franz\u00f6sischen Beh\u00f6rden wurde im September 2019 eine gemeinsame Ermittlungsgruppe (GEG) zwischen Norwegen, Frankreich, dem Vereinigten K\u00f6nigreich und der Ukraine mit finanzieller Unterst\u00fctzung von Eurojust und der Hilfe der beiden Agenturen eingerichtet. Die Partner der GEG arbeiten seither parallel zu den unabh\u00e4ngigen Ermittlungen der niederl\u00e4ndischen und US-amerikanischen Beh\u00f6rden eng zusammen, um das tats\u00e4chliche Ausma\u00df und die Komplexit\u00e4t der kriminellen Aktivit\u00e4ten dieser Cyber-Akteure aufzudecken und eine gemeinsame Strategie zu entwickeln.<\/p>\n

F\u00fcr die Identifizierung dieser Bedrohungsakteure war die von Europol und Eurojust koordinierte internationale Zusammenarbeit von zentraler Bedeutung. Denn die Opfer befanden sich an verschiedenen geografischen Standorten auf der ganzen Welt. Eurojust richtete ein Koordinierungszentrum ein, um die grenz\u00fcberschreitende justizielle Zusammenarbeit w\u00e4hrend des Aktionstages zu erleichtern. Zur Vorbereitung wurden sieben Koordinationssitzungen abgehalten.<\/p>\n

Das Europ\u00e4ische Zentrum f\u00fcr Cyberkriminalit\u00e4t (EC3) von Europol richtete operative Sitzungen aus, leistete Unterst\u00fctzung in den Bereichen digitale Forensik, Kryptow\u00e4hrungen und Malware und erleichterte den Informationsaustausch im Rahmen der Joint Cybercrime Action Taskforce (J-CAT), die am Hauptsitz von Europol in Den Haag angesiedelt ist.<\/p>\n

Mehr als 50 ausl\u00e4ndische Ermittler, darunter sechs Europol-Spezialisten, wurden f\u00fcr den Aktionstag in die Ukraine entsandt, um die nationale Polizei bei der Durchf\u00fchrung gemeinsamer Ermittlungsma\u00dfnahmen zu unterst\u00fctzen. Au\u00dferdem wurde ein ukrainischer Cyberpolizist f\u00fcr zwei Monate zu Europol abgeordnet, um sich auf den Aktionstag vorzubereiten. Die folgenden Beh\u00f6rden nahmen an dieser Operation teil:<\/p>\n

Norwegen: Nationales Kriminalkommissariat (Kripos)
\nFrankreich: Staatsanwaltschaft von Paris, Nationale Polizei (Police Nationale – OCLCTIC)
\nNiederlande: Nationale Polizei (Politie), Nationale Staatsanwaltschaft (Landelijk Parket, Openbaar Ministerie)
\nUkraine: Generalstaatsanwaltschaft (\u041e\u0444\u0456\u0441 \u0413\u0435\u043d\u0435\u0440\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u043a\u0443\u0440\u043e\u0440\u0430), Nationale Polizei der Ukraine (\u041d\u0430\u0446\u0456\u043e\u043d\u0430\u043b\u044c\u043d\u0430 \u043f\u043e\u043b\u0456\u0446\u0456\u044f \u0423\u043a\u0440\u0430\u0457\u043d\u0438)
\nVereinigtes K\u00f6nigreich: Polizei Schottland, Nationale Kriminalit\u00e4tsbek\u00e4mpfungsbeh\u00f6rde (NCA)
\nDeutschland: Polizeipr\u00e4sidium Reutlingen (Polizeidirektion Reutlingen)
\nSchweiz: Bundespolizei (fedpol), Polizei Basel-Landschaft
\nVereinigte Staaten: United States Secret Service (USSS), Federal Bureau of Investigations (FBI)
\nEuropol: Europ\u00e4isches Zentrum f\u00fcr Cyberkriminalit\u00e4t (EC3)
\nEurojust<\/p>\n

Es zeigt sich, dass die Strafverfolger durchaus erfolgreich gegen Cyber-Kriminelle vorgehen k\u00f6nnen. Allerdings ist der Aufwand recht hoch und einige Akteure sitzen unerreichbar in Russland oder anderen L\u00e4ndern.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Europol ist ein neuer Schlag gegen Cyber-Kriminelle in verschiedenen L\u00e4ndern gelungen, die Unternehmen und Organisationen mit Ransomware erpresst haben. Den 12 Verd\u00e4chtigen wird vorgeworfen, 1.800 Opfer in 71 L\u00e4ndern mit Ransomware infiziert und dann L\u00f6segeld erpresst zu haben. Ermittler griffen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-258930","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258930","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258930"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258930\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258930"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258930"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258930"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}