Check Point und BlueVoyant kommentieren die aktuelle Situation

Von Lothar Geuenich, Regional Director Central Europe/DACH bei Check Point Software Technologies

Das Ende der Ransomware-Gruppe war gleichzeitig der Start neuer Ermittlungsmethoden. Durch Infiltration von Hackerbanden sind Lösegeldzahlungen nicht länger alternativlos.

In der vergangenen Woche haben deutsche und US-amerikanische Behörden (Polizei Baden-Württemberg sowie FBI und Secret Service) in Kooperation mit weiteren europäischen Sicherheitsbehörden das Hackernetzwerk „Hive“ nach einer gemeinsamen Ermittlung zerschlagen. Das ist ein Sieg, der gefeiert werden sollte. Denn offenbar hatte die Gruppe durch Ransomware-Angriffe bereits rund 100 Millionen Euro von mehr als 1500 Unternehmen und Organisationen (davon 70 in Deutschland) erbeutet. Indem die Behörden die Hacker unbemerkt infiltrierten, konnten sie seit Juli über 300 Opfern von Ransomware die Entschlüsselungscodes zuspielen , wodurch diese ihre Daten wiedererlangen und Lösegeldzahlungen im Wert von fast 120 Millionen Euro verhindert werden konnten. Soweit die Faktenlage. Zwar formen sich diese Banden häufig unter anderem Namen neu oder spalten sich in andere auf. Diese Aktion sendet jedoch eine wichtige Botschaft und hat wahrscheinlich einige Ransomware-Gruppen erschüttert, da sie nicht wissen, ob ihre Bande womöglich auch gerade überwacht werden könnte. Bisher wurden noch keine Verhaftungen bekannt gegeben und die Ermittlungen dauern weiter an. Man muss bedenken, dass die Täter von den Behörden über ein halbes Jahr hinweg ohne deren Wissen beobachtet wurden. Man kann also gespannt sein, was mit den mit Hive in Verbindung stehenden Akteuren nun geschehen wird.

Interessant ist ebenfalls, dass die Ermittler sich – in einer koordinierten Strafverfolgung und mit legalen Mitteln – in die Systeme von Hive gehackt und darüber hinaus den Opfern heimlich geholfen haben, indem sie ihnen die Entschlüsselungscodes übergaben. Alles, während bei Hive das „Tagesgeschäft“ normal weiterlief. Es ist damit zu rechnen, dass wir künftig häufiger von derartigen digitalen Ermittlungsmethoden lesen werden, da sie schneller und einfacher durchzuführen sind als mit herkömmlichen Methoden nach Cyberkriminellen zu fahnden und sie zu verhaften – vor allem wenn man an die Grenzen der internationalen Strafverfolgung denkt.

Andere Ransomware-Gruppen müssen nun damit rechnen, dass ihre Opfer die Entschlüsselungsschlüssel zugespielt bekommen und ihre „Operationen“ so ein frühzeitiges Ende nehmen. Denn der ist ihr einziger Hebel gegen ihre Opfer und entzieht ihnen sofort die Grundlage für das Geschäft mit der Datenerpressung. Es sendet ebenso die Botschaft, dass Behörden sich der gleichen Methoden wie die Täter bedienen, um Operationen durchzuführen und Cyberkriminelle zu stören. Mit Hilfe der Strafverfolgungsbehörden müssen Betroffene den Ransomware-Banden bestenfalls kein Lösegeld zahlen, was dazu führen könnte, dass sich mehr Unternehmen melden, wenn sie mit einem Angriff konfrontiert werden. Im besten Fall könnte das darin resultieren, dass weniger Unternehmen an die Kriminellen zahlen, wenn sie von erfolgreichen Ermittlungsverläufen wie der Zerschlagung der Hive-Gruppe mitbekommen.

Sicher war dieser (wenn auch bemerkenswerte) Ermittlungserfolg nicht der Anfang vom Ende der Ransomware-Ära. Doch der sendet mehrere wichtige Signale an alle Hackergruppen: Zum einen, dass die Strafverfolgung sich zunehmend den digitalen Raum und die Taktiken der Täter zunutze macht, um sie mit ihren eigenen Waffen zu schlagen. Die Infiltration der Hive-Gruppe zeigt aber auch, dass die internationale Gemeinschaft erkannt hat, dass Cyberkriminalität länderübergreifende Ermittlung und Koordination unabdingbar macht. Das vermittelt den Hackern, dass sie sich nicht länger sicher fühlen können, wenn sie aus dem Ausland Angriffe initiieren, ohne die Justiz fürchten zu müssen. Man darf gespannt sein, welche Ermittlungen folgen werden – und welche Hacker-Gruppe womöglich bereits unwissentlich infiltriert wurde.

Gefahr durch Hive gebannt?

Von Austin Berglas, Global Head of Professional Services bei BlueVoyant und ehemaliger stellvertretender leitender Sonderagent der Cyberabteilung des FBI-Büros in New York

Dem FBI ist es gelungen, in die Computernetzwerke von Hive einzudringen und es konnte so Zugriff auf die Entschlüsselungsschlüssel erlangen und sie Opfern der Ransomware-Gruppe weltweit zur Verfügung stellen. Dadurch konnten die Opfer vor der Zahlung des Lösegeldes in Höhe von insgesamt 130 Millionen Dollar bewahrt werden. Weltweit wurden mehr als 1.500 Opfer in über 80 Ländern angegriffen, darunter auch Krankenhäuser, Schulen, Finanzunternehmen und Betriebe der kritischen Infrastruktur. Das amerikanische Justizministerium gab bekannt, dass das FBI in Zusammenarbeit mit den deutschen Strafverfolgungsbehörden und der niederländischen National High Tech Crime Unit die Kontrolle über die Server und Websites übernommen hat, über die Hive mit seinen Mitgliedern kommuniziert. Die Bedrohungsakteure haben somit momentan keine Möglichkeit ihre Angriffe zu organisieren, Opfer zu kompromittieren und zu erpressen. Die Beschlagnahmung der von Hive genutzten Website wird hoffentlich als Abschreckung für andere Personen und Gruppen dienen, die kriminelle Aktivitäten planen. Obwohl dies nicht die Auflösung der Hive-Organisation zur Folge haben wird, kommen so die kriminellen Operationen für eine gewisse Zeit ins Stocken und die Gruppe ist gezwungen eine neue Infrastruktur aufzubauen, wenn sie beabsichtigt, ihre Aktivitäten unter demselben Namen fortzusetzen. Nach der Beschlagnahmung der Website könnte es zu einem vorübergehenden Rückgang der Ransomware-Aktivitäten kommen, da sich Gruppen wie Hive bemühen, ihre Verteidigungsmaßnahmen zu verstärken und ihren inneren Kreis besser zu schützen.

Wir konnten in der Vergangenheit beobachten, dass sich Ransomware-Gruppen, die sich entweder aufgrund von Strafverfolgungsmaßnahmen, internen Streitigkeiten oder geopolitischen Gründen auflösen, manchmal unter einem anderen Namen neu formieren. Conti beispielsweise, eine der aktivsten Ransomware-Gruppen der jüngeren Vergangenheit, stellte ihren Betrieb ein, kurz nachdem eines ihrer Mitglieder die interne Kommunikation durchsickern ließ. Ehemalige Mitglieder der Gruppe stehen im Verdacht, sich in neuere Gruppen wie BlackBasta und BlackByte abzuspalten. Eine endgültige Zerschlagung von kriminellen Cybergruppierungen ist jedoch nur möglich, wenn die Strafverfolgungsbehörden die verantwortlichen Personen festnehmen können. Es ist jedoch sehr schwierig, die Menschen hinter der Tastatur zu identifizieren. Viele der Cyber-Kriminellen sind geschickt darin, ihre Online-Kommunikation, ihre Standorte und ihre Infrastruktur zu anonymisieren. Sie operieren oft von globalen Standorten aus, an denen es keine internationale Zusammenarbeit mit den Strafverfolgungsbehörden gibt, und nutzen sichere Hosting-Provider, die auf Gerichtsverfahren nicht reagieren. Unternehmen sollten daher weiterhin wachsam bleiben und dafür sorgen, dass ihre IT-Infrastrukturen bestmöglich vor potenziellen Angriffen geschützt sind.