LockerGoga: Polizei geht gegen internationale Ransomware-Bande vor
Fahnder aus Europa und den USA haben zwölf mutmaßliche Cyber-Erpresser in der Ukraine und der Schweiz verhaftet, die etwa Norsk Hydro lahmgelegt haben sollen.
(Bild: Oleksiy Mark/Shutterstock.com)
Strafverfolgungsbehörden aus sieben europäischen Ländern, den USA und der EU haben mutmaßliche Mitglieder einer bereits mehrere Jahre aktiven kriminellen Ransomware-Gruppe dingfest gemacht. Die Ermittler legen den 12 Festgenommenen zur Last, erhebliche Störungen und "Chaos" etwa bei Unternehmen im Bereich kritischer Infrastrukturen in Europa und den USA verursacht zu haben. Insgesamt seien mehr als 1800 Opfer in 71 Ländern von diesen Cyberangriffen betroffen gewesen.
"Die Zugriffe fanden in den frühen Morgenstunden des 26. Oktober in der Ukraine und der Schweiz statt", teilte Europol am Freitag mit. Die meisten der geschnappten Verdächtigen gälten als "hochrangige Zielpersonen, da gegen sie in mehreren aufsehenerregenden Fällen in verschiedenen Rechtsordnungen ermittelt wird". Im Rahmen der Razzien seien über 52.000 US-Dollar in bar sowie 5 Luxusfahrzeuge beschlagnahmt worden. Eine Reihe elektronischer Geräten werde derzeit forensisch untersucht, um Beweise zu sichern und neue Ermittlungsansätze zu erhalten.
Computer beschlagnahmt
Die festgenommenen "Cyber-Akteure" sind laut Europol dafür bekannt, dass sie unter anderem die Erpressungstrojaner LockerGoga, MegaCortex und Dharma eingesetzt haben. Informationen über Opfer nannte die Den Haager Behörde nicht.
Die Gang, die hauptsächlich LockerGoga einsetze, steckte Berichten zufolge jedoch etwa hinter der Cyberattacke auf den norwegischen Aluminiumkonzern Norsk Hydro im März 2019. Dieser musste seine Produktion daraufhin weitestgehend auf manuellen Betrieb umstellen. Die französische Industrieberatungsfirma Altran soll die Malware im Januar des gleichen Jahres ebenfalls getroffen haben. Laut Cybersecurity-Experten waren ferner unter anderem die US-amerikanischen Chemieunternehmen Hexion und Momentive betroffen.
Die Verdächtigen "hatten alle unterschiedliche Funktionen in diesen professionellen, gut organisierten kriminellen Organisationen" inne, führt Europol aus. "Einige dieser Kriminellen bemühten sich um das Eindringen in das Netzwerk und nutzten mehrere Mechanismen, um IT-Netzwerke zu kompromittieren, darunter Brute-Force-Angriffe, SQL-Injektionen, gestohlene Anmeldedaten und Phishing-E-Mails mit bösartigen Anhängen."
Arbeitsteilung bei Cybergangstern
Sobald sie in ein Netzwerk eingedrungen seien, konzentrierten sich einige der Hacker darauf, sich auf den verknüpften Rechnern frei zu bewegen und Malware wie Trickbot sowie kommerzielle Werkzeuge wie Cobalt Strike oder PowerShell Empire einzusetzen, "um unentdeckt zu bleiben und weiteren Zugang zu erhalten". Die Übeltäter hätten dann teils monatelang in den kompromittierten Systemen ausgeharrt und nach weiteren Schwachstellen in den IT-Netzwerken gesucht, "bevor sie die Infektion durch den Einsatz einer Ransomware zu Geld machen" wollten.
Einige der verhörten Personen stehen unter dem Verdacht, für die Wäsche der Lösegeldzahlungen verantwortlich zu sein: Sie sollten erpresste Bitcoin-Summen durch spezielle "Mischdienste" schleusen, bevor die unrechtmäßig erworbenen Gewinne in bar ausgezahlt worden seien.
Gemeinsame Ermittlungsgruppe
Die Initiative für die Gegenoperation starteten französische Behörden im September 2019, indem sie eine gemeinsame Ermittlungsgruppe mit Norwegen, Frankreich, Großbritannien und der Ukraine mit finanzieller Unterstützung der EU-Staatsanwaltschaft Eurojust und weiterer Hilfe von Europol einrichteten. Die Partner arbeiteten seither parallel zu den unabhängigen Untersuchungen der niederländischen und US-amerikanischen Behörden eng zusammen, um das Ausmaß und die Komplexität der kriminellen Aktivitäten aufzudecken und eine gemeinsame Strategie zu entwickeln.
Das Europäische Zentrum für Cyberkriminalität (EC3) von Europol leistete der Behörde zufolge etwa Unterstützung in den Bereichen digitale Forensik, Kryptowährungen sowie Malware und sorgte für einen erleichterten Informationsaustausch. Mehr als 50 Ermittler seien für den Tag der Razzia in die Ukraine entsandt worden, um der dortigen nationalen Polizei bei der Durchführung gemeinsamer Maßnahmen unter die Arme zu greifen. Aus Deutschland war das Polizeipräsidium Reutlingen beteiligt. Sicherheitsbehörden inklusive Europol hatten zuvor erst im Oktober eine ukrainische Ransomware-Gang ausgehoben.
(vbr)
