Ermittler zerschlagen HIVE-Infrastruktur

Es wurde heute bekannt gegeben, dass in einer globalen Aktion ein erheblicher Schlag von Cybercrime-Ermittlern, in Form der Abschaltung der HIVE-Infrastruktur, stattgefunden hat
Europol unterstützte die deutschen, niederländischen und US-amerikanischen Behörden bei der Abschaltung der Server und der Bereitstellung von Entschlüsselungstools für die Opfer

Hintergrund von HIVE

Die Ransomware HIVE wurde eingesetzt, um die Daten und Computersysteme wirtschaftskräftiger Konzerne in der EU und USA zu kompromittieren und zu verschlüsseln. Laut EUROPOL wurden seit Mitte 2021 mehr als 1 500 Unternehmen aus über 80 Ländern weltweit Opfer von HIVE-Nutzern. Dabei geht es um fast 100 Millionen Euro an Lösegeldzahlungen!

Zum Einsatz kam es in Form eines „-as-a-Service“: Zunächst kopierten sie Daten und verschlüsselten die Dateien dann. Dann verlangten sie ein Lösegeld, um die Dateien zu entschlüsseln und die gestohlenen Daten nicht auf der Hive Leak Site zu veröffentlichen. Als die Opfer zahlten, wurde das Lösegeld zwischen Partnern (die 80 % erhielten) und Entwicklern (die 20 % erhielten) aufgeteilt.

Zu unterscheiden ist dabei zwischen den „Affiliates“, welche die Cyberangriffe ausführten, während die eigentliche Ransomware von Entwicklern gepflegt wurde. Als Angriffe wurden und werden regelmässig eingesetzt:

  • Verschaffen von Zugang zu den Netzwerken der Opfer, indem Single-Factor-Logins über das Remote Desktop Protocol (RDP), virtuelle private Netzwerke und andere Protokolle für Remote-Netzwerkverbindungen verwendet werden;
  • Umgehen der Multifaktor-Authentifizierung durch Ausnutzen von Sicherheitslücken, um sich ohne die Aufforderung zur Eingabe des zweiten Authentifizierungsfaktors des Benutzers anzumelden;
  • Und natürlich das Verschaffen von Zugang, indem Phishing-E-Mails mit bösartigen Anhängen verbreitet und die Schwachstellen in den Betriebssystemen der angegriffenen Geräte ausgenutzt werden;

Das Vorgehen gegen Hive

Die Aktion wurde gemeinsam von mehreren Behörden geführt, insbesondere von FBI und BKA. Schon Ende Juli 2022 war das FBI nach eigenen Angaben in die Computernetzwerke von Hive eingedrungen, hat die Entschlüsselungsschlüssel erbeutet und sie den Opfern weltweit zur Verfügung gestellt, sodass die Opfer kein Lösegeld zahlen mussten. Dabei war ein Ransomware-Angriff wohl Ausgangspunkt des Gegenschlages:

Wie schon im Dezember 2020, als im Rahmen der „Operation Nova“ ein unter dem Namen „Safe-Inet“ firmierendes Netzwerk von Cyberkriminellen zerschlagen worden war (vgl. Pressemitteilung vom 22. Dezember 2020), waren der jetzigen „Operation Dawnbreaker“ langwierige und umfangreiche Ermittlungen vorausgegangen, die ihren Ursprung in einem der Staatsanwaltschaft Stuttgart – Schwerpunktabteilung für Cybercrime – und des Polizeipräsidiums Reutlingen genommen hatten.

Den Cyberspezialisten der Kriminalpolizeidirektion Esslingen war es im Rahmen von Ermittlungen zu einem Cyberangriff zum Nachteil eines im Landkreis Esslingen ansässigen Unternehmens im Laufe des vergangenen Jahres gelungen, in die kriminelle IT-Infrastruktur der Täter einzudringen, die Spur zu dem bis dahin nicht bekannten, weltweit agierenden Netzwerk „HIVE“ zurückzuverfolgen und den internationalen Partnern den entscheidenden Hinweis zu geben.

PM der Polizei Reutlingen, Donnerstag 26. Januar 2023 – 16:35 Uhr

Das FBI berichtet weiter, dass man nach dem Eindringen in das Hive-Netzwerk über 300 Entschlüsselungsschlüssel an Hive-Opfer verteilt hatte, die vorher angegriffen wurden. Weiterhin verteilte das FBI über 1.000 weitere Entschlüsselungsschlüssel an frühere Hive-Opfer. Schließlich gab das Ministerium heute bekannt, dass es in Zusammenarbeit mit den deutschen Strafverfolgungsbehörden (Bundeskriminalamt und Polizeipräsidium Reutlingen – Kripo Esslingen) und der niederländischen National High Tech Crime Unit die Kontrolle über die Server und Websites übernommen hat, über die Hive mit seinen Mitgliedern kommuniziert, und damit die Möglichkeiten von Hive, Opfer anzugreifen und zu erpressen, unterbrochen hat.

HIVE-Netzwerk zerschlagen - Strafverteidiger Ferner zu Cybercrime
Abgeschaltetes Netzwerk HIVE – Quelle: EUROPOL

Europol unterstützte zudem deutsche, niederländische und US-amerikanische Behörden.

Rund 120 Mio. EUR dank Eindämmungsmaßnahmen eingespart

Europol hat nach eigenen Angaben die Bemühungen zur Schadensbegrenzung mit anderen EU-Ländern koordiniert und so verhindert, dass private Unternehmen Opfer der Ransomware HIVE wurden. Die Strafverfolgungsbehörden stellten den betroffenen Unternehmen den Entschlüsselungsschlüssel zur Verfügung, damit sie ihre Daten entschlüsseln konnten, ohne das Lösegeld zu bezahlen. Dadurch konnten Lösegeldzahlungen in Höhe von mehr als 130 Mio. USD oder umgerechnet etwa 120 Mio. EUR verhindert werden.

An den Aktionstagen setzte Europol vier Experten ein, um die Aktivitäten vor Ort zu koordinieren. Europol unterstützte die beteiligten Strafverfolgungsbehörden durch die Koordinierung der Kryptowährungs- und Malware-Analysen, den Abgleich operativer Informationen mit den Datenbanken von Europol sowie durch weitere operative Analysen und forensische Unterstützung. Es wird erwartet, dass die Analyse dieser Daten und anderer damit verbundener Fälle weitere Ermittlungsaktivitäten auslösen wird. Die Joint Cybercrime Action Taskforce (J-CAT) bei Europol unterstützte die Operation ebenfalls. Dieses ständige operative Team besteht aus Verbindungsbeamten für Cyberkriminalität aus verschiedenen Ländern, die an hochkarätigen Ermittlungen im Bereich der Cyberkriminalität arbeiten.

Was Folgt?

Wie immer: Es wird etwas folgen, bei wem, in welcher Form und wie schnell wird an eigenen Tatbeiträgen und hinterlassenen Spuren liegen. So wird berichtet:

Bei der „Operation Dawnbreaker“ haben die Behörden den Angaben zufolge „eine Vielzahl von Servern beschlagnahmt, Daten und Accounts des Netzwerks und seiner Nutzer gesichert“

Bericht bei Heise-Online unter Bezugnahme auf die Polizei Reutlingen

Wer dumm ist, wird einfach darauf vertrauen, dass er sicher ist – mit etwas Verstand, fangen Akteure aber an, sich vorzubereiten, insbesondere um eine Haftsituation zu vermeiden. Das (vermeintliche) Verwischen von Spuren gehört auf keinen Fall dazu: Wer klug ist, nutzt die zur Verfügung stehende Zeit nicht für panische Aktionen, die alles schlimmer machen, sondern um zielgerichtet die eigene Freiheit zu schützen, indem man den typischen Schritten von Ermittlern professionell begleitet entgegen geht – schon mit Blick auf die Pressemitteilungen ist die Hoffnung, dass man „nichts in der Hand hat“ auf keinen Fall zu stützen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.