FBI sagt, es habe die Hacker eines Ransomware-Dienstes „gehackt“ und den Opfern 130 Millionen Dollar erspart

Das US-Justizministerium behauptet, dass es seit Juli letzten Jahres Zugang zu dem Netzwerk hatte und die Entschlüsselungsschlüssel an die Opfer weitergab, bevor diese die Angreifer bezahlten.

Das Justizministerium gab diese Woche bekannt, dass FBI-Agenten die berüchtigte Ransomware-Gruppe Hive erfolgreich ausgeschaltet und Lösegeldkampagnen im Wert von 130 Millionen Dollar verhindert haben, so dass die Opfer nicht mehr an die Zahlung denken müssen. Das FBI behauptet, dass die Hive-Gruppe für die Angriffe auf mehr als 1.500 Opfer in über 80 Ländern weltweit verantwortlich war. Nun gibt das Ministerium bekannt, dass es das Netzwerk der Gruppe monatelang infiltriert hatte, bevor es in Zusammenarbeit mit deutschen und niederländischen Behörden in dieser Woche die Hive-Server und -Websites stilllegte.

„Einfach ausgedrückt, haben wir die Hacker mit legalen Mitteln gehackt“, sagte die stellvertretende Generalstaatsanwältin Lisa Monaco auf einer Pressekonferenz.

Das FBI behauptet, dass es durch heimliches Hacken der Hive-Server in der Lage war, über 300 Entschlüsselungsschlüssel zu erbeuten und sie an die Opfer weiterzugeben, deren Daten von der Gruppe gesperrt wurden. US-Justizminister Merrick Garland sagte in seiner Erklärung, dass das FBI in den letzten Monaten diese Entschlüsselungsschlüssel verwendet hat, um einen texanischen Schulbezirk zu befreien, für den ein Lösegeld in Höhe von 5 Millionen Dollar gefordert wurde, ein Krankenhaus in Louisiana, von dem 3 Millionen Dollar gefordert wurden, und ein ungenanntes Lebensmittelunternehmen, für das ein Lösegeld in Höhe von 10 Millionen Dollar gefordert wurde.

„Wir haben den Spieß umgedreht und das Geschäftsmodell von Hive durchkreuzt“, so Monaco. Hive wurde vom FBI als eine der fünf größten Ransomware-Bedrohungen eingestuft. Nach Angaben des Justizministeriums hat Hive seit Juni 2021 über 100 Millionen US-Dollar an Lösegeldzahlungen von seinen Opfern erhalten.

Das „Ransomware-as-a-Service (RaaS)“-Modell von Hive besteht darin, Ransomware herzustellen und zu verkaufen und dann „Partner“ zu rekrutieren, die sie einsetzen, wobei die Hive-Administratoren einen Anteil von 20 Prozent an den Erlösen erhalten und die gestohlenen Daten auf einer „HiveLeaks“-Seite veröffentlichen, wenn jemand nicht zahlt. Nach Angaben der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) nutzen die Partner Methoden wie E-Mail-Phishing, das Ausnutzen von FortiToken-Authentifizierungsschwachstellen und den Zugriff auf Unternehmens-VPNs und Remote-Desktops (über RDP), die nur mit Ein-Faktor-Logins geschützt sind.

In einem CISA-Alarm vom November wird erläutert, wie die Angriffe auf Unternehmen und Organisationen abzielen, die ihre eigenen Microsoft Exchange-Server betreiben. Der Code, der ihren Partnern zur Verfügung gestellt wird, nutzt bekannte Schwachstellen wie CVE-2021-31207 aus, die trotz der seit 2021 erfolgten Patches oft angreifbar bleiben, wenn nicht die entsprechenden Abhilfemaßnahmen getroffen werden.

Wenn sie erst einmal drin sind, nutzen sie die Netzwerkverwaltungsprotokolle des Unternehmens, um jegliche Sicherheitssoftware abzuschalten, Protokolle zu löschen, die Daten zu verschlüsseln und natürlich eine Lösegeldforderung (HOW_TO_DECRYPT.txt) in den verschlüsselten Verzeichnissen zu hinterlassen, die die Opfer mit einem Live-Chat-Panel verbindet, um über die Lösegeldforderung zu verhandeln.

„Wenn ein Opfer vortritt, kann das den Unterschied ausmachen.

Hive ist die größte Ransomware-Gruppe, die das FBI seit REvil im Jahr 2021 zur Strecke gebracht hat – diese Gruppe war für das Durchsickern von MacBook-Schemata eines Apple-Lieferanten sowie des weltweit größten Fleischlieferanten verantwortlich. Und zu Beginn des Jahres wurden Gruppen wie DarkSide erfolgreich mit einer Auszahlung von 4,4 Millionen Dollar davongekommen, nachdem sie in die Systeme von Colonial Pipeline eingedrungen waren, was zu einem sprunghaften Anstieg der nationalen Gaspreise führte. Der teuerste Ransomware-Angriff, der bekannt wurde, war jedoch der des Versicherungsunternehmens CNA Financial, das den Hackern schließlich 40 Millionen Dollar zahlte.

Das FBI fand bei der Überwachung von Hive mehr als 1.000 Verschlüsselungsschlüssel, die mit früheren Opfern der Gruppe in Verbindung gebracht wurden, und FBI-Direktor Christopher Wray stellte fest, dass sich nur 20 Prozent der entdeckten Opfer an das FBI wandten, um Hilfe zu erhalten. Viele Opfer von Ransomware-Angriffen wenden sich nicht an das FBI, weil sie die Konsequenzen der Hacker fürchten und befürchten, dass ihre Branche wegen mangelnder Sicherheitsvorkehrungen in die Kritik gerät.

Da die Hacker jedoch ihren Zahltag bekommen, gibt dies der Ransomware-Industrie Auftrieb, weiterzumachen. Das FBI hofft, dass es mehr Opfer davon überzeugen kann, sich zu melden und mit ihm zusammenzuarbeiten, anstatt sich den Forderungen zu beugen. „Wenn sich ein Opfer meldet, kann das den Unterschied ausmachen, wenn es darum geht, gestohlene Gelder wiederzuerlangen oder Entschlüsselungsschlüssel zu erhalten“, so Monaco.

Telekorn