WASHINGTON (AP) – Das FBI und internationale Partner haben das Netzwerk einer produktiven Ransomware-Bande, die sie letztes Jahr infiltriert haben, zumindest vorübergehend unterbrochen und Opfern, darunter Krankenhäusern und Schulbezirken, potenzielle 130 Millionen US-Dollar an Lösegeldzahlungen, Generalstaatsanwalt Merrick Garland und anderen US-Beamten erspart Donnerstag angekündigt.
„Einfach gesagt, wir haben die Hacker mit rechtmäßigen Mitteln gehackt“, sagte die stellvertretende Generalstaatsanwältin Lisa Monaco auf einer Pressekonferenz.
Beamte sagten, das gezielte Syndikat, bekannt als Hive, gehöre zu den fünf größten Ransomware-Netzwerken der Welt und habe ein stark zielgerichtetes Gesundheitswesen. Das FBI hat im Juli heimlich auf sein Control Panel zugegriffen und konnte Softwareschlüssel erhalten, die es mit deutschen und anderen Partnern verwendet hat, um Netzwerke von etwa 1.300 Opfern weltweit zu entschlüsseln, sagte FBI-Direktor Christopher Wray.
Wie sich die Abschaltung auf den langfristigen Betrieb von Hive auswirken wird, ist unklar. Beamte kündigten keine Verhaftungen an, sagten jedoch, dass sie zur Verfolgung der Strafverfolgung eine Karte der Administratoren erstellen würden, die die Software verwalten, und der verbundenen Unternehmen, die Ziele infizieren und mit Opfern verhandeln.
„Ich denke, jeder, der mit Hive zu tun hat, sollte besorgt sein, weil diese Untersuchung noch andauert“, sagte Wray.
Am Mittwochabend beschlagnahmten FBI-Agenten Computerserver in Los Angeles, die zur Unterstützung des Netzwerks verwendet wurden. Zwei dunkle Hive-Websites wurden beschlagnahmt: eine diente dazu, Daten von nicht zahlenden Opfern preiszugeben, die andere diente zum Aushandeln von Erpressungszahlungen.
„Cyberkriminalität ist eine sich ständig weiterentwickelnde Bedrohung, aber wie ich bereits sagte, wird das Justizministerium keine Ressourcen scheuen, um jeden vor Gericht zu bringen, der es mit einem Ransomware-Angriff auf die Vereinigten Staaten abgesehen hat“, sagte Garland.
Er sagte, die vom FBI-Büro in Tampa angeführte Infiltration habe es Agenten in einem Fall ermöglicht, einen Hive-Angriff auf einen Schulbezirk in Texas zu stören und ihn daran zu hindern, eine Zahlung in Höhe von 5 Millionen Dollar zu leisten.
Es ist ein großer Gewinn für das Justizministerium. Ransomware ist das weltweit größte Kopfzerbrechen bei Cyberkriminalität, von der britischen Post über das nationale Gesundheitsnetz Irlands bis hin zur Regierung von Costa Rica verkrüppelt von russischsprachigen Syndikaten, die Kreml-Schutz genießen.
Die Kriminellen sperren oder verschlüsseln die Netzwerke der Opfer, stehlen sensible Daten und verlangen hohe Summen. Ihre Erpressung hat sich dahin entwickelt, dass Daten gestohlen werden, bevor Ransomware aktiviert und dann effektiv als Geisel gehalten wird. Zahlen Sie in Kryptowährung oder es wird öffentlich freigegeben.
Als Beispiel für einen Hive-Stich sagte Garland, er habe ein Krankenhaus im Mittleren Westen im Jahr 2021 davon abgehalten, auf dem Höhepunkt der COVID-19-Epidemie neue Patienten aufzunehmen.
Die Online-Deaktivierungsmitteilung, abwechselnd in englischer und russischer Sprache, erwähnt Europol und deutsche Strafverfolgungspartner. Die deutsche Nachrichtenagentur dpa zitierte die Stuttgarter Staatsanwaltschaft mit den Worten, Cyber-Spezialisten im südwestlichen Esslingen seien maßgeblich daran beteiligt gewesen, in die kriminelle IT-Infrastruktur von Hive einzudringen, nachdem ein lokales Unternehmen zum Opfer gefallen war.
In einer Erklärung sagte Europol, dass Unternehmen in mehr als 80 Ländern, darunter Ölmultis, von Hive kompromittiert wurden und dass Strafverfolgungsbehörden aus 13 Ländern an der Infiltration beteiligt waren.
Eine Empfehlung der US-Regierung Letztes Jahr sagten Hive-Ransomware-Akteure, dass sie von Juni 2021 bis November 2022 weltweit über 1.300 Unternehmen zum Opfer fielen und dabei etwa 100 Millionen US-Dollar an Zahlungen einnahmen. Kriminelle, die die Ransomware-as-a-Service-Tools von Hive verwendeten, zielten auf eine breite Palette von Unternehmen und kritischen Infrastrukturen ab, darunter Regierungen, Fertigungsunternehmen und insbesondere das Gesundheitswesen.
Obwohl das FBI etwa 1.300 Opfern weltweit Entschlüsselungsschlüssel anbot, berichteten Wray, dass nur etwa 20 % potenzielle Probleme den Strafverfolgungsbehörden meldeten.
„Hier konnten wir glücklicherweise noch viele Opfer identifizieren und ihnen helfen, die sich nicht gemeldet haben. Aber das ist nicht immer der Fall“, sagte Wray. „Wenn Opfer uns Angriffe melden, können wir ihnen und auch anderen helfen.“
Opfer zahlen manchmal heimlich Lösegeld, ohne die Behörden zu benachrichtigen – selbst wenn sie Netzwerke schnell wiederhergestellt haben – weil ihnen die gestohlenen Daten extrem schaden könnten, wenn sie online durchgesickert wären. Identitätsdiebstahl gehört zu den Risiken.
John Hultquist, Head of Threat Intelligence bei der Cybersicherheitsfirma Mandiant, sagte, die Hive-Störung werde keinen großen Rückgang der gesamten Ransomware-Aktivität verursachen, sei aber dennoch „ein Schlag für eine gefährliche Gruppe“.
„Leider sorgt der kriminelle Marktplatz im Herzen des Ransomware-Problems dafür, dass ein Hive-Konkurrent bereitsteht, um in ihrer Abwesenheit einen ähnlichen Service anzubieten, aber sie überlegen es sich vielleicht zweimal, bevor sie zulassen, dass ihre Ransomware für Krankenhäuser verwendet wird“, sagte Hultquist.
Analyst Brett Callow von der Cybersicherheitsfirma Emsisoft sagte jedoch, dass die Operation geeignet ist, das Vertrauen der Ransomware-Gauner in ein Geschäft mit sehr hohen Belohnungen und geringem Risiko zu verringern. „Die gesammelten Informationen können auf verbundene Unternehmen, Geldwäscher und andere Personen hinweisen, die an der Ransomware-Lieferkette beteiligt sind.“
Allan Liska, ein Analyst bei Recorded Future, einem anderen Cybersicherheitsunternehmen, prognostizierte Anklagen, wenn nicht sogar Verhaftungen, in den nächsten Monaten.
Es gibt nur wenige positive Indikatoren im globalen Kampf gegen Ransomware, aber hier ist einer: Eine Analyse von Kryptowährungstransaktionen der Firma Chainalysis festgestellt, dass die Erpressungszahlungen für Ransomware im letzten Jahr zurückgegangen sind. Es wurden Zahlungen in Höhe von mindestens 456,8 Millionen US-Dollar verzeichnet, verglichen mit 765,6 Millionen US-Dollar im Jahr 2021. Während Chainalysis sagte, dass die tatsächlichen Gesamtsummen sicherlich viel höher sind, waren die Zahlungen deutlich rückläufig. Das deutet darauf hin, dass mehr Opfer die Zahlung verweigern.
Die Biden-Administration hat Ransomware vor zwei Jahren auf höchstem Niveau ernst genommen, nachdem eine Reihe hochkarätiger Angriffe kritische Infrastrukturen und die globale Industrie bedroht hatten. Im Mai 2021 zielten Hacker beispielsweise auf die größte Kraftstoffpipeline des Landeswas dazu führte, dass die Betreiber es kurzzeitig abschalteten und eine Lösegeldzahlung in Höhe von mehreren Millionen Dollar leisteten, die die US-Regierung später weitgehend wiedererlangte.
Eine globale Task Force, an der 37 Nationen beteiligt sind, hat diese Woche ihre Arbeit aufgenommen. es ist angeführt von Australiendas besonders stark von Ransomware betroffen ist, darunter ein großer Krankenversicherer und Telekommunikation. Herkömmliche Strafverfolgungsmaßnahmen wie Festnahmen und Strafverfolgung haben wenig dazu beigetragen, die Kriminellen zu frustrieren. Australiens Innenministerin Clare O’Neil sagte im November, ihre Regierung gehe in die Offensive und setze Cyber-Intelligenz und Polizeiagenten ein, um „ Finden Sie diese Leute, jagen Sie sie und schwächen Sie sie, bevor sie unser Land angreifen können.“
Das FBI hat zuvor Zugang zu Entschlüsselungsschlüsseln erhalten. Dies geschah im Fall eines großen Ransomware-Angriffs im Jahr 2021 auf Kaseya, ein Unternehmen, dessen Software Hunderte von Websites betreibt. Es hat einige gedauert Hitze jedoch, weil sie mehrere Wochen gewartet haben, um den Opfern zu helfen, betroffene Netzwerke freizuschalten.
____
Bajak berichtete aus Boston. Die assoziierte Presseautorin Kirsten Grieshaber in Berlin hat dazu beigetragen.