{"id":289449,"date":"2023-12-20T09:33:47","date_gmt":"2023-12-20T08:33:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289449"},"modified":"2023-12-21T08:56:59","modified_gmt":"2023-12-21T07:56:59","slug":"fbi-strafverfolger-legen-alphv-blackcat-ransomware-gruppe-lahm-dez-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/20\/fbi-strafverfolger-legen-alphv-blackcat-ransomware-gruppe-lahm-dez-2023\/","title":{"rendered":"FBI\/Strafverfolger legen ALPHV\/Blackcat-Ransomware-Gruppe lahm (Dez. 2023)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kleiner Nachtrag von gestern – die US-Beh\u00f6rde FBI hat zusammen mit weiteren Strafverfolgern die Operationen der ALPHV\/Blackcat-Ransomware-Gruppe lahm gelegt, wie das US-Justizministerium mitteilte. Es gab ja bereits seit Tagen Spekulationen, dass das was im Busch sei. Vom FBI wurde zudem ein Entschl\u00fcsselungstool erstellt, welches nun den Opfern zur Verf\u00fcgung gestellt wird, um verschl\u00fcsselte Dateien wieder zu restaurieren.<\/p>\n

<\/p>\n

Die ALPHV\/Blackcat-Ransomware-Gruppe<\/h2>\n

\"\"Bei ALPHV\/Blackcat handelt es sich um eine Ransomware-Gruppe, die seit Ende 2021 aktiv ist. Die Gruppe hat ihre Schadsoftware in Rust geschrieben, und ist dadurch in der Lage, sowohl Systeme mit Windows als auch mit Linux anzugreifen. Die Gruppe ALPHV vermarktet ihr Ransomware-as-a-service in Cybercrime-Foren und betreibt ein Partnerprogramm.<\/p>\n

Neben der Verschl\u00fcsselung der Dateien auf den infizierten Systemen werden vorher Daten abgezogen. Die Gruppe ist daf\u00fcr bekannt, dass sie gestohlene Daten weitergibt, wenn ihre L\u00f6segeldforderungen nicht erf\u00fcllt werden, und betriebt zu diesem Zweck mehrere Dark Web-Blogs. Hier im Blog gibt es einige Beitr\u00e4ge zu den Aktivit\u00e4ten der Ransomware-Gruppe (siehe Links am Artikelende). So ist der Angriff auf die Hotelkette Motel On ein Werk von ALPHV\/Blackcat (BlackCat Cyberangriff auf Motel One Gruppe; Daten ver\u00f6ffentlicht<\/a>). Die Tage hatte ich berichtet (BlackCat verschl\u00fcsselt US-Unternehmen Henry Schein zum dritten Mal<\/a>), dass Blackcat sich damit br\u00fcstete, das US-Unternehmen Henry Schein zum Dritten Mal binnen Wochen angegriffen und deren Systeme verschl\u00fcsselt zu haben.<\/p>\n

\"ALPHV\/Blackcat
\nALPHV\/Blackcat Ransomware-Opfer nach L\u00e4ndern; Quelle: Check Point<\/p>\n

Sicherheitsanbieter Check Point gibt an, dass die Gruppe rund 700 \u00f6ffentlich bekannte Opfer weltweit in den letzten zwei Jahren erfolgreich angegriffen und erpresst habe. Von Check Point habe ich obige Grafik erhalten, die die Opfer nach L\u00e4ndern angibt – \u00fcber die H\u00e4lfte der Opfer ist in den USA zu finden. Aber Deutschland ist mit 3,74 % der F\u00e4lle auch in der Liste vertreten.<\/p>\n

\"ALPHV\/Blackcat
\nALPHV\/Blackcat Ransomware-Opfer nach Branchen; Quelle: Check Point<\/p>\n

Obige Grafik, die ich ebenfalls von Check Point erhalten habe, zeigt die Aufteilung der Opfer nach Branchen. Die am h\u00e4ufigsten erpressten Branchen waren die Fertigungsindustrie und das Gesundheitswesen. Die Mitglieder der Gruppe zielten auch stark auf die sensible Lieferkette von Unternehmen wie Softwareanbieter und Beratungsunternehmen ab. Mehr als die H\u00e4lfte der Opfer waren US-amerikanische Unternehmen, und erst k\u00fcrzlich behauptete die Gruppe, mehrere Einrichtungen wie die Florida State University, Fidelity National Financial, die MGM Grand-Kette und andere infiltriert zu haben. Check Point z\u00e4hlt ALPHV\/Blackcat zu den TOP 3 der raffiniertesten und produktivsten osteurop\u00e4ischen Ransomware-Gruppen.<\/p>\n

Blackcat-Seiten seit Tagen down<\/h2>\n

Es war nur eine Frage der Zeit, bis die Operationen der Ransomware-Gruppe durch westliche Strafverfolger gest\u00f6rt werden w\u00fcrde. Zum 8. Dezember 2023 hatte ich bei den Kollegen von Bleeping Computer bereits diesen Artikel<\/a> gesehen. Die Botschaft lautete, dass die Leak-Seite der BlackCat-Ransomware-Gruppe seit dem 7. Dezember 2023 nicht mehr erreichbar sei.<\/p>\n

<\/a><\/p>\n

Der Artikel basierte auf den obigen Tweets<\/a> des MalwareHunterTeams, denen aufgefallen war, dass die betreffenden Leak-Seiten seit Stunden offline waren. Auch die Seite, wo Opfer ihr L\u00f6segeld zahlen konnten, waren offline. Die Spekulation ging dahin, dass Strafverfolger die Infrastruktur der Ransomware-Gang beschlagnahmt h\u00e4tten (dieser Tweet<\/a> stellt das als Tatsache hin).<\/p>\n

Ich hatte das damals nicht aufgegriffen, weil ich davon aus ging, dass ein oder zwei Tage sp\u00e4ter eine offizielle FBI-Verlautbarung erscheinen w\u00fcrde – was aber nicht der Fall war. Gegen\u00fcber Bleeping Computer gab der Administrator von ALPHV an, dass man in wenigen Stunden wieder online gehen wolle. Einen Grund f\u00fcr den Ausfall nannte der Operator nicht.<\/p>\n

Die Strafverfolger best\u00e4tigten Operation<\/h2>\n

Es dauerte bis zum 19. Dezember 2023, bis das US-Justizministerium in einer Mitteilung<\/a> best\u00e4tigte, dass mal die weit verbreitete ALPHV\/Blackcat-Ransomware-Variante lahm gelegt habe. Die Strafverfolger haben sich 18 Monate lang mit ALPHV\/Blackcat, die sich zur zweith\u00e4ufigsten Ransomware-as-a-Service-Variante der Welt entwickelt habe, befasst. Die Gruppe habe von mehr als 1.000 Opfern\u00a0 Hunderte Millionen US-Dollar L\u00f6segeld erpresst. Aufgrund des globalen Ausma\u00dfes dieser Verbrechen f\u00fchren mehrere ausl\u00e4ndische Strafverfolgungsbeh\u00f6rden parallele Ermittlungen durch.<\/p>\n

\"BlackCat<\/a><\/p>\n

Im Dezember 2023 hat dann ein Durchsuchungsbeschluss eines Gerichts in S\u00fcdflorida (Beschluss hier abrufbar<\/a>) dazu gef\u00fchrt, dass das FBI mehrere von der Gruppe betriebene Websites beschlagnahmen konnte. Das erkl\u00e4rt, warum die Leak-Seite und die Seite f\u00fcr Zahlungen down sind. Im Rahmen der Ermittlungen hat das FBI auch Einblick in das Computernetzwerk der Blackcat-Ransomware-Gruppe erhalten und konnte sogar ein Entschl\u00fcsselungstool entwickeln. \"Mit der Zerschlagung der Ransomware-Gruppe BlackCat hat das Justizministerium die Hacker wieder einmal gehackt\", sagte die stellvertretende Generalstaatsanw\u00e4ltin Lisa O. Monaco.<\/p>\n

Es scheint eine weltweite Kooperation der Strafverfolgungsbeh\u00f6rden gegeben zu haben. Das Justizministerium w\u00fcrdigt explizit die wichtige Zusammenarbeit mit dem deutschen Bundeskriminalamt und der Zentralen Kriminalinspektion G\u00f6ttingen, sowie der d\u00e4nischen Spezialeinheit f\u00fcr Kriminalit\u00e4t und Europol. Der US-Geheimdienst und die US-Staatsanwaltschaft f\u00fcr den \u00f6stlichen Bezirk von Virginia leisteten erhebliche Unterst\u00fctzung, hei\u00dft es, genau wie das Office of International Affairs des Justizministeriums und die Cyber Operations International Liaison leisteten ebenfalls wichtige Unterst\u00fctzung. Dar\u00fcber hinaus leisteten die australische Bundespolizei, die britische National Crime Agency und die Eastern Region Special Operations Unit, die spanische Policia Nacional, die Schweizer Kantonspolizei Thurgau und die \u00f6sterreichische Direktion Staatsschutz und Nachrichtendienst wesentliche Hilfe und Unterst\u00fctzung.<\/p>\n

FBI stellt Decryptor bereit<\/h2>\n

Dem FBI ist es dann gelungen, ein Entschl\u00fcsselungstool f\u00fcr verschiedene Blackcat Ransomware-Varianten zu entwickeln. Dieses Tool erm\u00f6glicht es den FBI-Au\u00dfenstellen in den USA, sowie den Strafverfolgungspartnern auf der ganzen Welt, \u00fcber 500 betroffenen Opfern die Wiederherstellung ihrer Systeme anzubieten. Bis heute hat das FBI mit Dutzenden von Opfern in den Vereinigten Staaten und international zusammengearbeitet, um diese L\u00f6sung zu implementieren und mehrere Opfer vor L\u00f6segeldforderungen in H\u00f6he von insgesamt ca. 68 Millionen Dollar zu bewahren, hei\u00dft es in der Mitteilung. Weitere Opfer der Ransomware-Gruppe werden ermutigt, sich zu melden.<\/p>\n

Eine Einsch\u00e4tzung der Lage<\/h2>\n

Die Mitteilungen der US-Justiz lesen sich zwar recht bombastisch, aber es gibt nur wenige Details. So berichten<\/a> die Kollegen von Bleeping Computer, dass es dem FBI gelungen sei, \u00fcber eine Person Zugang zum ALPHV\/BlackCat-Ransomware-Netzwerk zu bekommen, sich anzumelden und ein Partner zu werden. Die betreffende Person erhielt die Anmeldedaten f\u00fcr das nicht \u00f6ffentliche Backend-Panel der Partner. \u00dcber dieses Panel werden Erpressungskampagnen und L\u00f6segeldverhandlungen verwaltet.<\/p>\n

Dem FBI ist es gelungen, von einem Gericht einen Durchsuchungsbeschluss zu bekommen, so dass die Operation durchgef\u00fchrt werden konnte. So war es m\u00f6glich, die Vorgehensweise des ALPHV-Panel zu analysieren. Dort werden beispielsweise die Opfer, das geforderte L\u00f6segeld, ggf. erm\u00e4\u00dfigte L\u00f6segeldforderungen, das Ablaufdatum des Ultimatums, die Kryptow\u00e4hrungsadressen, die Kryptow\u00e4hrungstransaktionen, die Art des kompromittierten Computersystems, die Notiz zur L\u00f6segeldforderung an das Opfer, Chats mit dem Opfer und vieles mehr angezeigt.<\/p>\n

Das war quasi der Jackpot, denn das FBI konnte die bei den Angriffen verwendeten privaten Entschl\u00fcsselungsschl\u00fcssel beschaffen. Daraus lie\u00df sich ein Entschl\u00fcsselungsprogramm erstellen, mit dem \u00fcber 400 Opfer ihre Dateien kostenlos wiederherstellen konnten. Allerdings bleibt festzuhalten, dass die Daten von den Systemen der Opfer abgezogen und in H\u00e4nden der Cyberkriminellen sind. Die Daten k\u00f6nnten daher jederzeit ver\u00f6ffentlicht werden.<\/p>\n

\"FBI<\/a><\/p>\n

Die Beschlagnahme ist lediglich ein Etappenziel, da jetzt das Katz-und-Mausspiel zwischen Strafverfolgern und der Ransomware-Gang los geht. Das Decryptor-Tool kann wohl nur die verschl\u00fcsselten Dateien der letzten 400 Opfer entschl\u00fcsseln, wie aus obigem Tweet<\/a> hervorgeht. Angeblich soll es der Ransomware-Gruppe aber gelungen sein, die Online-Auftritte zur\u00fcckzubringen, nachdem das FBI einen der Domain-Controller der Ransomware-Gang kompromittiert habe.<\/p>\n

Nun hat die BlackCat-Gruppe alle Regeln, die Angriffe auf bestimmte Objekte wie kritische Infrastrukturen aus ihrem Partnerprogramm entfernt (nur die Regel, die das Angreifen der GUS untersagt, scheint noch zu bestehen). Damit w\u00e4re es den \"Partnern\" der ALPHV\/BlackCat Gang erlaubt, auch kritische Infrastrukturen anzugreifen. CSOnline hat hier<\/a> noch einige Informationen dazu ver\u00f6ffentlicht.<\/p>\n

Der Stand ist, dass es dem FBI und weiteren Strafverfolgern gelungen ist, die Operation der Ransomware-Gruppe zu st\u00f6ren. Es wird auch einige Opfer geben, die \u00fcber das Entschl\u00fcsselungstool ihre verschl\u00fcsselten Dateien wieder bekommen. Das l\u00f6st aber die folgenden Probleme nicht wirklich. Die Daten der Opfer sind abgezogen und k\u00f6nnten jederzeit durch ALPHV\/BlackCat ver\u00f6ffentlicht werden. Die Sicherheitsl\u00fccken, \u00fcber die die Angreifer eingedrungen sind, bestehen u.U. noch immer bzw. es k\u00f6nnte sein, dass die Backdoors zum Zugriff noch vorhanden ist (siehe BlackCat verschl\u00fcsselt US-Unternehmen Henry Schein zum dritten Mal<\/a>). Und die komplette Infrastruktur der Ransomware-Gang scheint nicht wirklich zerschlagen, Verhaftungen gab es auch nicht.<\/p>\n

Ich gehe daher davon aus, dass die Gruppe bald verst\u00e4rkt zuschlagen wird. The Register berichtet hier<\/a>, dass die Gruppe ihrer Webseite wohl wieder in Betrieb nehmen konnte und in den Stunden vor Ver\u00f6ffentlichung der obigen Meldung der Strafverfolger weitere Opfer aufgelistet habe. Und falls diese Gruppe die Systeme nicht angreift, werden andere Ransomware-Gruppen weiter machen. Solange die IT-Infrastrukturen weltweit so schlecht abgesichert und Software in einem absolut desastr\u00f6sen Sicherheitszustand ist, wird sich nicht viel \u00e4ndern – die Aktion gegen ALPHV\/BlackCat ist ein Etappensieg, nicht mehr und nicht weniger.<\/p>\n

Einsch\u00e4tzung von Trend Micro<\/h3>\n

Erg\u00e4nzung:<\/strong> Von Trend Micro liegt mir noch eine weitere Einsch\u00e4tzung vor, dich ich interessant finde. Dort hei\u00dft es, wird ein Gro\u00dfer wie ALPHV ausgeschaltet oder angez\u00e4hlt, so ziehen sich zun\u00e4chst die Partner (Affiliates) zur\u00fcck. Bevor nicht sicher ist, wie viel die Strafermittler wirklich wissen, riskieren diese Affiliates andernfalls den Hals.<\/p>\n

Gruppen wie ALPHV werden aber nicht einfach Schluss machen. Sie werden sich schlicht und ergreifend anderen RaaS-Angeboten zuwenden. Ob sie jemals von dem BlackCat RaaS-Anbieter zur\u00fcckgewonnen werden k\u00f6nnen, ist fraglich.<\/p>\n

Aber genauso hat dies Auswirkungen auf das Personal von ALPHV. Auch diese Kr\u00e4fte werden sich andere Arbeitgeber suchen. Dieser Takedown bedeutet f\u00fcr ALPHV einen Reputationsverlust, der langfristig ein Ende der Aktivit\u00e4ten darstellen kann.<\/p>\n

Allerdings h\u00e4nge sehr viel davon ab, wie hoch der tats\u00e4chliche Schaden ist, den die Polizei der RaaS-Gruppe zuf\u00fcgen konnte, schreibt Trend Mikro. Nachdem nun klar ist, dass ihre Sicherheitswerkzeuge dem Takedown nicht standhielten, geht es f\u00fcr die Kriminellen um die Frage, inwieweit die Gruppe eine gewisse Resilienz aufgebaut hatte und ihre Operationen durch Backup-Ma\u00dfnahmen oder Disaster Recovery Operationen wieder aufziehen kann. Auf jeden Fall wird sie eine Weile mit Ursachenforschung und Fehleranalyse zubringen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nBlackCat verschl\u00fcsselt US-Unternehmen Henry Schein zum dritten Mal<\/a>
\nJapanischer Konzern Seiko Opfer der BlackCat Ransomware-Gang<\/a>
\nBlackCat Cyberangriff auf Motel One Gruppe; Daten ver\u00f6ffentlicht<\/a>
\nNetzbetreiber Creos Luxembourg Opfer der BlackCat Ransomware<\/a>
\nRansomware-Gruppe ALPHV (Blackcat) mit neuen Erpressungstechniken (durchsuchbar Datenbank)<\/a>
\nWenn Ransomware-Gruppen (AlphV) Opfer bei der SEC verpetzen<\/a>
\nEiner der gr\u00f6\u00dften Gesundheitsanbieter Michigans wurde Opfer der ALPHV-Ransomware-Gang<\/a>
\nCyber-News: Details zum Dena-Angriff, Fresenius Medical Care, Bluetooth-Schwachstelle und mehr<\/a>
\nMGM Resorts International Opfer eines Cyberangriffs: Spielcasinos, Webseiten und Dienste down<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kleiner Nachtrag von gestern – die US-Beh\u00f6rde FBI hat zusammen mit weiteren Strafverfolgern die Operationen der ALPHV\/Blackcat-Ransomware-Gruppe lahm gelegt, wie das US-Justizministerium mitteilte. Es gab ja bereits seit Tagen Spekulationen, dass das was im Busch sei. Vom FBI wurde zudem … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-289449","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289449","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=289449"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289449\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=289449"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=289449"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=289449"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}