Nachdem die Hive-Ransomware-Bande besiegt worden war, hatte sie mehr als 100 Millionen Dollar eingespielt. Das US-Justizministerium sagte, das FBI habe Hive-Hacker gehackt

Hive-Bande besiegt

In einer zu diesem Anlass einberufenen Pressekonferenz erklärte das US-Justizministerium, dass es FBI-Agenten gelungen sei, die berüchtigte Hive-Bande auszurotten und damit ihre Erpressungskampagnen im Wert von 130 Millionen Dollar zunichte zu machen.

Das Verteidigungsministerium behauptet, das Netzwerk der Hive-Gruppe infiltriert zu haben und die kriminellen Aktivitäten der Gruppe von innen heraus beobachtet zu haben.

„Wir haben die Hacker einfach mit legalen Methoden gehackt“, sagte die stellvertretende Generalstaatsanwältin Lisa Monaco während einer Pressekonferenz.

Der Einbruch des FBI fand im Juli 2022 statt und seitdem ist es dem FBI gelungen, in den Besitz von 300 Datei-Entschlüsselungsschlüsseln zu gelangen, die Unternehmen gehörten, die Opfer der Ransomware-Erpressung waren. Dadurch konnten Unternehmen wieder in den Besitz ihrer Daten gelangen, ohne ein Lösegeld zahlen zu müssen. Nach Angaben des FBI gaben nur 20 % der Unternehmen an, Opfer eines Ransomware-Angriffs geworden zu sein.

Die Hive-Gruppe hat eine lange Liste von Präzedenzfällen und war nach Angaben des Justizministeriums für die gezielte Bekämpfung von über 1.500 Opfern in mehr als 80 Ländern auf der ganzen Welt verantwortlich.

Nach sechsmonatiger Beobachtung der kriminellen Aktivitäten konnte das FBI in den Besitz zahlreicher Informationen gelangen, darunter auch den Standort der Server, auf denen das Netzwerk gehostet wird (in Deutschland und den Niederlanden). In Zusammenarbeit mit örtlichen Ermittlern ergriffen sie Schritte, um die Server außer Betrieb zu nehmen.

Laut Monaco „haben wir das Geschäftsmodell von Hive kaputt gemacht, indem wir den Spieß umgedreht haben.“ Nach Angaben des FBI gehörte Hive zu den fünf größten Ransomware-Bedrohungen weltweit. Nach Angaben des Justizministeriums haben Hive-Opfer seit Juni 2021 mehr als 100 Millionen US-Dollar an Lösegeld gezahlt.

Das große Geschäft von RaaS

Das Geschäftsmodell von Hive ist Ransomware-as-a-Service (RaaS). Hive-Administratoren bauen einen Ransomware-Stamm auf, entwerfen eine benutzerfreundliche Oberfläche, um ihn zu kontrollieren, und engagieren dann Partner, an die sie den Dienst verkaufen, um ihn an die Opfer zu verbreiten. Partner verfügen nach Zahlung einer Eintrittsgebühr über ein Control Panel, das es ihnen ermöglicht, Angriffe auch ohne große technische Kenntnisse durchzuführen. Die Aufteilung etwaiger Gewinne erfolgt in Höhe von 80 % für den Affiliate und 20 % für Hive.

Von Ransomware betroffene Opfer können über die Hive-Website im Dark Web mit den Erpressern von Hive kommunizieren. Zu diesem Zeitpunkt beginnen die Gesprächspartner von Hive eine Verhandlung mit den Opfern und formulieren die Lösegeldforderung (normalerweise in Bitcoin oder in einer „anderen Kryptowährung“) für 1 % des Lösegelds den Jahresumsatz des Unternehmens und demonstrieren ihre Beteiligung an dem Angriff, indem sie Beispieldateien oder einen Entschlüsseler für eine kleine Teilmenge verschlüsselter Dateien bereitstellen.

Die Hive-Erpresser nutzten eine Angriffsstrategie mit doppelter Erpressung. Der Partner hat vertrauliche Informationen gestohlen oder exfiltriert, bevor er die Dateien verschlüsselt hat. Der Affiliate forderte daraufhin eine Zahlung als Gegenleistung für das Versprechen, die gestohlenen Daten nicht preiszugeben und den Entschlüsselungsschlüssel auszuhändigen, der zum Entsperren des Systems des Opfers erforderlich ist. Um weitere Zahlungsanreize zu schaffen, zielten die Partner in der Regel auf die vertraulichsten Informationen des Opfersystems ab. Im Fall eines börsennotierten Unternehmens drohten sie damit, die Daten an die SEC Security Exchange Commission zu übermitteln.

Als die Opfer jedoch die Zahlung verweigerten, veröffentlichten Hive-Administratoren die gestohlenen Daten auf der Website „HiveLeaks“.

Die Plage der Ransomware

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) sagt, dass Partner Techniken wie E-Mail-Phishing verwenden, FortiToken-Authentifizierungsfehler ausnutzen und auf Unternehmens-VPNs und Remote-Desktops (über RDP) zugreifen, die nur durch Ein-Faktor-Authentifizierung geschützt sind.

Sobald sie das Computersystem des Opfers betreten, beginnen sie normalerweise damit, jegliche Sicherheitssoftware zu deaktivieren, Daten zu verschlüsseln und verschlüsselte Verzeichnisse mit der Lösegeldforderung HOW TO DECRYPT.txt zu erstellen, die den Link enthält, der die Opfer zur Chat-Website von Hive weiterleitet, um Lösegeldforderungen zu besprechen.

Nach Angaben des FBI hat die Hive-Gruppe seit Juni 2021 weltweit mehr als 1.500 Opfer angegriffen.

Im Mai 2022 startete Hive einen schweren Angriff auf das Gesundheitswesen Costa Ricas. Nur wenige Monate zuvor hatte der Präsident von Costa Rica nach einem Angriff der russischen Conti-Bande den nationalen Notstand ausgerufen. Die Conti-Bande löste sich später auf, einige sagen, dies sei auf das von der US-Regierung ausgesetzte Kopfgeld in Höhe von 15 Millionen US-Dollar zurückzuführen. Anderen Beobachtern zufolge folgt die angebliche „Auflösung“ der Conti-Bande jedoch vielmehr einem Bedürfnis nach Internationalisierung im allgemeinen Kontext des Russland-Ukraine-Krieges. Die Hacker von Conti hätten sich also nicht aus dem Geschäft zurückgezogen, sondern hätten sich zu kleineren Raas-Gruppen wie Hive, Avos Locker, Black Cat und Black Byte zusammengeschlossen, mit dem Ziel, sie zu großen Gruppen mit „Feuer“-Fähigkeiten zu machen, um große Ziele anzugreifen.

Hat RaaS eine Zukunft?

Zu den bekanntesten Angriffen von Hive zählen Media Markt, der europäische Einzelhändler für Unterhaltungselektronik, Emily Frey, der europäische Autohändler, das Memorial Healthcare System in den USA und das Bauunternehmen Sando in Spanien. Im Juli 2022 gehörte Hive zu den fünf aktivsten Ransonware-Banden und operierte hauptsächlich in Nordamerika und Europa, gefolgt von Südamerika, Asien und dem Nahen Osten.

Das FBI zerstörte das Netzwerk von Hive, nahm jedoch keine Festnahmen vor. Was werden die Bandmitglieder tun? Laut Jim Simpson, Director of Threat Intelligence bei der britischen Firma Searchlight Cyber, würden sich die Hive-Hacker „bald unter einem anderen Namen niederlassen oder in andere RaaS-Banden rekrutiert werden“.

Simpson begrüßte jedoch das Vorgehen des FBI und stellte fest, dass „die Operation in beiden Fällen erhebliche Kosten für die Operationen von Hive verursachte“.

Fehler: Inhalt ist geschützt !!