„Die Strafverfolgung geht viel schneller voran, aber immer noch nicht schnell genug“, sagt Allan Liska, ein Analyst des auf Ransomware spezialisierten Sicherheitsunternehmens Recorded Future. „Es dauert eine Weile, einen Fall zu erstellen, und in der Zwischenzeit diese.“ Gruppen richten Chaos an.“
Ein Grund dafür, dass die Strafverfolgungsbehörden ihre Versuche, die Infrastruktur von Alphv zu zerstören, verzögerten, dürften laufende Ermittlungen zu den Akteuren hinter der Gruppe gewesen sein. Alphv/BlackCat scheint aus einer Bande namens BlackMatter hervorgegangen zu sein, die wiederum als Neukombination der berüchtigten Darkside-Ransomware-Gruppe hervorgegangen zu sein schien, die es auf Colonial Pipeline in den USA abgesehen hatte.
„Das ist nicht ihre erste Scheißshow. Leider wird es wahrscheinlich auch nicht das letzte Mal sein“, sagt Brett Callow, Bedrohungsanalyst beim Antivirenunternehmen Emsisoft. „Aber die Partner von Alphv in der Kriminalität werden sich fragen: Welche Informationen konnten die Strafverfolgungsbehörden sammeln? Und wen betrifft es?“
Die Maßnahmen zur Abschaltung umfassten die Zusammenarbeit und parallele Ermittlungen mehrerer Strafverfolgungsbehörden, darunter im Vereinigten Königreich, in Australien, Deutschland, Spanien und Dänemark. Das US-Justizministerium teilte am Dienstag mit, dass ein vom FBI entwickeltes Entschlüsselungstool für die Ransomware Alphv bereits mehr als 500 Opfern geholfen habe, sich von Angriffen zu erholen und die Zahlung von Lösegeld in Höhe von rund 68 Millionen US-Dollar zu vermeiden.
Da Ransomware-Gruppen mehr auf ein Hybridmodell setzen, bei dem ein großer Teil ihres Erpressungspotenzials auf der Gefahr beruht, dass sie den Opfern gestohlene Daten preisgeben, sind Entschlüsselungsprogramme nur eines von vielen Tools, die Opfern helfen sollen, Lösegeldzahlungen zu vermeiden. Aber der Versuch von Alphv am Dienstagnachmittag, seinen Kunden zu erlauben, seine Ransomware für Angriffe auf lebenswichtige Dienste wie Krankenhäuser und Atomkraftwerke zu nutzen, machte die Existenz des Entschlüsselers noch bedeutsamer, wenn man bedenkt, wie gefährlich und störend diese Aktivität sein könnte.
„Die Aussage über die gezielte Bekämpfung kritischer Infrastrukturen ist ziemlich besorgniserregend. Das wird mit Sicherheit ein andauernder Kampf sein. Die Strafverfolgungsbehörden müssen die Entschlüsselungsschlüssel und -tools den Opfern aggressiv zur Verfügung stellen“, sagt Alex Leslie, Threat-Intelligence-Analyst bei Recorded Future. „Und Datenerpressung ist immer noch ein Thema. Im Allgemeinen wäre die Datenerpressung im Hinblick auf eine nationale Sicherheitskrise kurzfristig nicht so verheerend, aber wer weiß.“
A Durchsuchungsbefehl In einer vom FBI veröffentlichten Studie heißt es, dass die Strafverfolgungsbehörden Anmeldeinformationen für die Plattformen der Ransomware-Bande von einer „vertraulichen menschlichen Quelle“ mit Zugang zur Gruppe erhalten hätten. Obwohl nicht sofort klar war, wie Alphv nach der Strafverfolgungsmaßnahme sein Gelände „freigegeben“ hatte, begannen die Forscher am Dienstagnachmittag, sich über einige Theorien zu einigen. Da sowohl die Cyberkriminellen als auch die Strafverfolgungsbehörden Zugriff auf die Anmeldeschlüssel hatten, ist es möglich, dass dies auf mehreren Websites der Fall war unter derselben Tor-Adresse registriert oder dass Alphv in der Lage war, eine weitere Registrierung hinzuzufügen und die Website dann auf Server zu verweisen, die nicht von den Strafverfolgungsbehörden kontrolliert wurden. Auf die gleiche Weise ist es jedoch wahrscheinlich, dass die Strafverfolgungsbehörden vermutlich einen umfassenden Zugriff auf die Infrastruktur der Bande hatten, der es ihr ermöglichte, das Gelände zurückzuerobern.
Das US-Justizministerium stellte am Dienstagmorgen fest, dass Personen mit Informationen über Alphv/Blackcat und seine Tochtergesellschaften sich melden sollten und möglicherweise dennoch Anspruch auf eine Belohnung durch das US-Außenministerium haben.
Aktualisiert am 19.12.23, 14:55 Uhr ET, um zu verdeutlichen, dass die Strafverfolgungsbehörden ihre Kontrolle über die Dark-Web-Leak-Site von Alphv wiederhergestellt haben.