Cybercrime: Polizei übernimmt IT-Infrastruktur der Ransomware-Gruppe "Hive"

Inhaltsverzeichnis

Ermittlungsbehörden in Europa und den USA ist ein weiterer Schlag gegen die organisierte Cyberkriminalität gelungen. Ermittler in Baden-Württemberg haben in Zusammenarbeit mit europäischen Kräften, Europol, der US-Bundespolizei FBI und weiteren US-Behörden am Donnerstag die Kontrolle über die IT-Infrastruktur der Ransomware-Gruppe "Hive" übernommen. Das teilte das Polizeipräsidium Reutlingen am Donnerstagnachmittag mit.

"Operation Dawnbreaker"

Bei der "Operation Dawnbreaker" haben die Behörden den Angaben zufolge "eine Vielzahl von Servern beschlagnahmt, Daten und Accounts des Netzwerks und seiner Nutzer gesichert". Ausgangspunkt der Operation war ein Ransomware-Angriff auf ein deutsches Unternehmen im Raum Esslingen. Im Zuge der Ermittlungen war es der Polizei "gelungen, in die kriminelle IT-Infrastruktur der Täter einzudringen".

Bei den Ermittlungen hätten die Behörden "die Spur zu dem bis dahin nicht bekannten, weltweit agierenden Netzwerk Hive zurückverfolgen" können und den internationalen Partnern einen "entscheidenden Hinweis" geben.

Die Ermittlungen dauern an. Zur Identität von Tätern und "Kunden" der Gruppe machen die Behörden keine Angaben. Von der Auswertung der beschlagnahmten Server und des sichergestellten Datenmaterials versprechen sich die Behörden weitere Erkenntnisse zu Tatverdächtigen und "Nutzern" des kriminellen Netzwerks.

"Ransomware as a Service"

Wie andere Gruppen auch bot das Hive-Netzwerk seine Ransomware "as a Service" an. Die Behörden legen der Gruppe mehr als 1500 schwere Cyberangriffe gegen Unternehmen und Organisationen in 80 Ländern während der vergangenen anderthalb Jahre zur Last, davon 70 in Deutschland. Hierzulande hatte Hive im November 2021 die Elektronikmärkte MediaMarkt und Saturn angegriffen.

Nach Angaben von Europol haben die "Hive"-Mitglieder verschiedene Angriffsvektoren genutzt. Einige Angriffe liefen über einfache Logins mit dem Remote Desktop Protocol (RDP) oder via VPN. In anderen Fällen haben die Angreifer Multifaktor-Anmeldungen umgangen und sich über Softwarelücken Zugang verschafft. Weitere Angriffe seien über Phishing-E-Mails mit Schadsoftware eingeleitet worden.

Nach Schätzungen der US-Justiz konnten die Täter dabei rund 100 Millionen US-Dollar erpressen. Das erpresste Geld wurde nach Informationen von Europol dann geteilt: Die Angreifer geben ein Fünftel an die Entwickler der Ransomware ab und behalten 80 Prozent der Beute selbst.

Netzwerk infiltriert

Dabei haben einige der betroffenen deutschen Unternehmen das geforderte Lösegeld nicht bezahlt, sondern Strafanzeige gestellt und damit die Ermittlungen ins Rollen gebracht. Die deutschen Ermittler haben dann die internationalen Kollegen hinzugezogen. Die US-Behörden hatten nach eigenen Angaben seit Juli 2022 Zugang zum Netzwerk.

Den haben sie auch genutzt, um betroffene Unternehmen mit den Daten für die Entschlüsselung der durch die Ransomware verschlüsselten Systeme zu versorgen. "Seit Juli vergangenen Jahres haben wir mehr als 300 Opfern auf der ganzen Welt geholfen und so Lösegeldzahlungen in Höhe von etwa 130 Millionen US-Dollar verhindert", sagte US-Justizminister Merrick Garland. In den USA sei etwa ein Krankenhaus mit Hive angegriffen worden.

Neben den USA, Deutschland und den Niederlanden waren Ermittler in Kanada, Frankreich, Irland, Litauen, Norwegen, Portugal, Rumänien, Spanien, Schweden und dem Vereinigten Königreich an der Operation Dawnbreaker beteiligt.

Die Staatsanwaltschaft Stuttgart schätzt, dass der durch Hive verursachte Schaden in die Milliarden geht, und rechnet mit einem wachsenden Problem. "Umso wichtiger ist es, dass die Ermittlungsbehörden sich weiter vernetzen, flexibel agieren und technisch auf dem aktuellen Stand halten", erklärte der Leitende Oberstaatsanwalt Joachim Dittrich.

(vbr)