Ransomware-Gruppe „Hive“ zerschlagen

Adam Marrè, CISO bei Arctic Wolf

Das FBI und Behörden in Deutschland haben nach eigenen Angaben die Ransomware-Gruppe „Hive“ zerschlagen. Das Hackernetzwerk hat wichtige Daten der Opfer verschlüsselt sowie Unternehmen und Organisationen mit selbstentwickelten Erpressungstools unter Druck gesetzt und mit der Veröffentlichung von sensiblen Daten gedroht. So sollen die Cyberkriminellen in den vergangenen Jahren mehr als 100 Millionen US-Dollar (rund 92 Millionen Euro) an Lösegeldzahlungen erbeutet haben.

Adam Marrè, CISO bei Arctic Wolf, einem führenden Security-Operations-Anbieter, und ehemaliger FBI Cyber Special Agent, ordnet den Fall ein:

Strafverfolgungsbehörden nutzen geheime Zugänge zu den Netzwerken und Systemen von Bedrohungsakteuren, um Beweise für strafrechtliche Ermittlungen zu unterschiedlichsten Arten von Cyberkriminalität zu sammeln – einschließlich Ransomware. Die aktuelle Operation ist ein gutes Beispiel dafür, wie ein umfassender Zugang zum Erfolg führen kann, um die Aktivitäten von Cyberkriminellen zu vereiteln. Leider ist dies so nicht immer möglich. Teilweise stützen sich – ebenfalls erfolgreiche – Ermittlungen auch auf geringere Zugangsmöglichkeiten. Ermittlungsfortschritte hängen dann häufig allein von Informanten ab und stützen sich nicht auf einen direkten technischen Access.

Die Zerschlagung des Hive-Hackernetzwerks bedeutet einen erheblichen Rückschlag für diese gefährliche kriminelle Organisation, die es auf Gesundheitssysteme abgesehen hat und damit letztlich eine Bedrohung für Leib und Leben darstellte. Auch wenn dieser Vorstoß die Menge der Ransomware-Aktivitäten in ihrer Gesamtheit nicht wesentlich reduziert, so ist es doch ein Signal an diejenigen, die solche Aktivitäten noch durchführen oder planen, es zu tun. Auch wenn anzunehmen ist, dass der Cyber-Crime-Markt, in irgendeiner Form einen Ersatz für den „Hive-Dienst“ hervorbringen wird, bleibt zu hoffen, dass dieser Durchbruch der Strafverfolgungsbehörden als Abschreckung für diejenigen dient, die Angriffe auf kritische Infrastrukturen wie Krankenhäuser ermöglichen.

Die Art dieses speziellen Zugriffs wird wahrscheinlich zu Verhaftungen führen oder dazu, dass die Strafverfolgung die beteiligten Personen überzeugt, als Informanten für weitere Ermittlungen mit ihr zusammenzuarbeiten. Es ist durchaus denkbar, dass einige Mitglieder der Ransomware-Gruppe Hive bereits vor der Zerschlagung dieses Netzwerks bekannt waren, die Strafverfolgungsbehörden jedoch noch nicht bereit waren oder die Zerschlagung über den technischen Access nicht mit Verhaftungsaktionen gefährden wollten.

#ArcticWolf