Media-Markt-Erpresser ergaunern mit Hive-Ransomware 100 Millionen US-Dollar

Das FBI hat Details zu Attacken durch den Verschlüsselungstrojaner Hive zusammengetragen. Außerdem geben sie wichtige Sicherheitstipps.

In Pocket speichern vorlesen Druckansicht 342 Kommentare lesen

(Bild: Foxeel,Shutterstock.com)

Update
Lesezeit: 2 Min.
Inhaltsverzeichnis

Cybercrime ist nach wie vor äußerst lukrativ und Kriminelle erpressen weltweit Milliardenbeträge. Nun hat das Federal Bureau of Investigation (FBI) Informationen zur Hive-Kampagne veröffentlicht. Daraus geht unter anderem hervor, wie lukrativ der Erpressungstrojaner ist und wie Admins betroffene Systeme erkennen können.

Die Hive-Ransomware operiert weltweit und hat hierzulande vor rund einem Jahr etwa bei der Handelskette Media Markt zugeschlagen. Die Straftäter nehmen aber auch medizinische Einrichtungen und kritische Infrastruktur ins Visier. Bei einer Ransomware-Attacke verschlüsselt ein Trojaner Daten und die Täter verlangen für Schlüssel Lösegeld. In diesem Fall sollen sie 50 Millionen US-Dollar gefordert haben. Ob das Lösegeld bezahlt wurde, ist bislang nicht bekannt.

Verschlüsselungstrojaner sind nach wie vor die Cashcow der Malwareszene. Allein im ersten Halbjahr 2021 sollen allein in den USA 590 Millionen US-Dollar erpresst worden sein. Dabei gehen die Kriminellen extrem professionell vor und nehmen Unternehmen gezielt in die Mangel.

Die Hive-Ransomware hat den Drahtziehern dem FBI zufolge bislang 100 Millionen US-Dollar in die Kassen gespült. Dafür sollen sie weltweit mehr als 1300 Firmen erpresst haben. Die Gruppe um den Erpressungstrojaner tauchte Mitte 2021 auf der Bildfläche auf.

Um Systeme zu kompromittieren, sollen die Angreifer unter anderem Sicherheitslücken in Microsoft Exchange Server ausgenutzt haben. Sie sollen aber auch versuchen, über RDP- oder VPN-Verbindungen auf Computer zu gelangen, führt das FBI aus.

Im Anschluss sollen sie unter anderem Backup- und Virenschutz-Software deaktivieren und Daten exfiltieren. Um den Druck auf Opfer zu erhöhen, drohen sie mit einer Veröffentlichung der Daten. Außerdem sollen sie noch weitere Malware auf Systemen hinterlassen.

In dem Bericht listet das FBI verschiedene Parameter auf (Indicator of Compromise, IOC), über die Admins eine Hive-Infektion erkennen können. Obendrein sollten sich Admins die Sicherheitstipps anschauen, um Systeme vor Ransomware abzusichern. Dazu gehört etwa eine effektive Backup-Strategie, das Überwachen von RDP-Verbindungen und die regelmäßige Installation von Sicherheitsupdates.

Derzeit sorgt eine Erpressung des Unternehmens Continental AG durch die Lockbit-Gruppe für Schlagzeilen. Der Kriminellen fordern 50 Millionen US-Dollar Lösegeld. Sie geben an, 40 Terabyte interne Daten kopiert zu haben.

(des)