{"id":277244,"date":"2023-01-26T18:24:06","date_gmt":"2023-01-26T17:24:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277244"},"modified":"2023-04-29T10:43:06","modified_gmt":"2023-04-29T08:43:06","slug":"hive-ransomware-infrastruktur-von-strafverfolgern-beschlagnahmt-jan-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/26\/hive-ransomware-infrastruktur-von-strafverfolgern-beschlagnahmt-jan-2023\/","title":{"rendered":"Hive Ransomware-Infrastruktur von Strafverfolgern beschlagnahmt (Jan. 2023)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]In einer koordinierten Aktion haben internationale Strafverfolgungsbeh\u00f6rden die Infrastruktur der Hive Ransomware-Gruppe beschlagnahmt. Damit kann die Gruppe keine Zahlungen mehr \u00fcber ihre Tor-Webseite entgegen nehmen. An der Aktion waren Ermittler aus den Niederlande, aus Deutschland und aus den USA beteiligt. Das ist ein weiterer Fall, in dem Strafverfolger zur\u00fcckschlagen und Webseiten sowie Infrastruktur einer Cyberkriminellen-Gruppe zerschlagen.<\/p>\n

<\/p>\n

\"\"Aktuell gibt es wohl noch keine offizielle Mitteilung der Strafverfolgungsbeh\u00f6rden. Aber viele Medien berichten bereits \u00fcber die Beschlagnahmeaktion und die Webseite der Gruppe zeigt ein Beschlagnahme-Logo.<\/p>\n

\"EUROPOL<\/a><\/p>\n

Tagesschau berichtet hier<\/a>, dass die Staatsanwaltschaft Stuttgart zusammen mit US-Justizbeh\u00f6rden und weiteren Strafverfolgern das internationale operierende Netzwerk der Hive-Ransomware-Gang zerschlagen habe. \"Eine Vielzahl von Servern wurden beschlagnahmt, Daten und Accounts des Netzwerks und seiner Nutzer gesichert\", erkl\u00e4rten die Staatsanwaltschaft Stuttgart und das Polizeipr\u00e4sidium Reutlingen.<\/p>\n

Die Ransomware-Gruppe war seit Juni 2021 aktiv und hat mehr als 1500 Unternehmen weltweit angegriffen. In Deutschland waren es ca. 70 Betroffene, so die Strafverfolger. Drei dieser Opfer sind Baden-W\u00fcrttemberg angesiedelt, so dass die Kriminalpolizeidirektion Esslingen involviert war. Deren Ermittler seien dem Netzwerk bei Ermittlungen zu einem dort betroffenen Unternehmen auf die Spur gekommen. Eine Liste der Opfer l\u00e4sst sich \u00fcbrigens auf dieser Webseite<\/a> einsehen.<\/p>\n

In einer gemeinsamen Erkl\u00e4rung des US-Justizministers Merrick Garland, des FBI-Direktors Christopher Wray und der stellvertretenden US-Justizministerin Lisa Monaco hei\u00dft es, dass Ermittler in das Netzwerk von Hive eingedrungen seien. Die Ermittler haben darauf hin die Bande \u00fcberwacht und heimlich die digitalen Schl\u00fcssel gestohlen, mit denen die Ransomware-Gruppe die Daten der Opferorganisationen entsperrte. \"Wir haben die Hacker mit legalen Mitteln gehackt\", zitiert Reuters<\/a> Lisa Monaco. \"Wir haben den Spie\u00df gegen Hive umgedreht\".<\/p>\n

Die Tagesschau zitiert Udo Vogel, Polizeipr\u00e4sident von Reutlingen, mit: \"Es hat sich wieder einmal gezeigt, dass eine intensive und von gegenseitigem Vertrauen gepr\u00e4gte Zusammenarbeit \u00fcber Landesgrenzen und Kontinente hinweg der Schl\u00fcssel zur schlagkr\u00e4ftigen Bek\u00e4mpfung der schweren Cyberkriminalit\u00e4t ist. Wir sind dankbar, Teil dieses au\u00dfergew\u00f6hnlichen Netzwerks mit hochprofessionellen Partnern zu sein und unseren Beitrag zu solchen Erfolgen leisten zu k\u00f6nnen.\" Laut EU-Polizeibeh\u00f6rde Europol wurde von Hive auch kritische Infrastruktur im Gesundheits- und IT-Bereich, darunter Krankenh\u00e4user, Telefonanbieter und Fabriken, attackiert.<\/p>\n

Die Nachricht \u00fcber das Takedown der Infrastruktur verbreitete sich vor wenigen Stunden, als die Website von Hive durch eine blinkende Meldung ersetzt wurde, die besagte: \"Das Federal Bureau of Investigation hat diese Website als Teil einer koordinierten Strafverfolgungsma\u00dfnahme gegen Hive Ransomware beschlagnahmt.\"<\/p>\n

Hive war eine der produktivsten unter einer Vielzahl von Cyberkriminellen, die internationale Unternehmen erpressen, indem sie deren Daten verschl\u00fcsseln und im Gegenzug massive Zahlungen in Kryptow\u00e4hrung verlangen. Zudem wurden beim Angriff abgezogene Daten auf einer Hive-Leak-Seite ver\u00f6ffentlicht, um Druck auf die Opfer auszu\u00fcben.<\/p>\n

In einer im November verbreiteten Warnung erkl\u00e4rte das FBI, dass Cyberkriminelle, die mit Hive in Verbindung stehen, mehr als 1.300 Unternehmen weltweit zum Opfer gefallen sind und rund 100 Millionen US-Dollar an L\u00f6segeldzahlungen erhalten haben. Aktuell hei\u00dft es vom FBI, dass die Zahl der angegriffenen Unternehmen auf 1.500 gestiegen sei und dass der Hack der Hive-Netzwerke L\u00f6segeldzahlungen in H\u00f6he von etwa 130 Millionen US-Dollar vereitelt habe. Interessant wird f\u00fcr Opfer sein, wann die Strafverfolger in Zusammenarbeit mit Sicherheitsfirmen Entschl\u00fcsselungstools bereitstellen.<\/p>\n

Erg\u00e4nzung:<\/strong> Von Tenable ging mir noch eine Einsch\u00e4tzung zum Vorgang zu. Satnam Narang, Staff Research Engineer bei Tenable meint dazu:<\/p>\n

Die von den Sicherheitsbeh\u00f6rden ergriffenen Ma\u00dfnahmen, um den Betrieb der Hive-Ransomware-Gruppe von innen heraus zu st\u00f6ren, sind ein beispielloser Schritt im Kampf gegen Ransomware, die f\u00fcr die meisten Unternehmen heute st\u00e4ndig die gr\u00f6\u00dfte Bedrohung darstellt. Dies k\u00f6nnte zwar das Ende der Hive-Ransomware-Gruppe bedeuten, aber seine Mitglieder und Partner stellen weiterhin eine Bedrohung dar. Wenn wir aus vergangenen St\u00f6raktionen gegen Ransomware-Gruppen etwas gelernt haben, dann dass andere Gruppen aufstehen werden, um die hinterlassene L\u00fccke zu f\u00fcllen.<\/p>\n

Affiliates, die normalerweise f\u00fcr die Durchf\u00fchrung der meisten dieser Angriffe verantwortlich sind, k\u00f6nnen leicht zu anderen Affiliate-Programmen von Gruppen wechseln, die weiterhin betriebsbereit sind, und Mitglieder von Ransomware-Gruppen k\u00f6nnen ihr Wissen ebenfalls an diese Gruppen weitergeben.<\/p>\n

Einer der wichtigsten Wege, wie Ransomware-Gruppen Aufmerksamkeit und Bekanntheit erlangen, ist die Ver\u00f6ffentlichung ihrer erfolgreichen Angriffe auf Datenleck-Sites im Dark Web. Es w\u00fcrde mich nicht \u00fcberraschen, wenn Ransomware-Gruppen die Bedrohung sehen, die durch die Wartung dieser Sites entsteht, und aufh\u00f6ren, diese Angriffe \u00f6ffentlich aufzulisten in einem Versuch, unter dem Radar zu bleiben.<\/p><\/blockquote>\n

Ich denke, dieser Einsch\u00e4tzung ist nichts hinzuzuf\u00fcgen. Ein Loch ist gestopft, die Akteure werden an anderer Stelle weiter machen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nDecryptor f\u00fcr Hive Ransomware v1 bis v4 verf\u00fcgbar<\/a>
\nHive-Ransomware-Gang erbeutete 100 Millionen von 1.300 Opfern (u.a. Media Markt)<\/a>
\nMedia Markt\/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ L\u00f6segeldforderung<\/a>
\nAnatomie eines Hive Ransomware-Angriffs auf Exchange per ProxyShell<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In einer koordinierten Aktion haben internationale Strafverfolgungsbeh\u00f6rden die Infrastruktur der Hive Ransomware-Gruppe beschlagnahmt. Damit kann die Gruppe keine Zahlungen mehr \u00fcber ihre Tor-Webseite entgegen nehmen. An der Aktion waren Ermittler aus den Niederlande, aus Deutschland und aus den USA beteiligt. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-277244","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277244","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277244"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277244\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277244"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277244"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277244"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}