Bei einer international koordinierten Razzia in der Ukraine und der Schweiz wurden zwölf mutmaßliche Mitglieder einer weltweit operierenden Cyber-Bande festgenommen. Diese werden beschuldigt, seit 2019 zahlreiche Ransomware-Angriffe auf große Unternehmen und wichtige Infrastruktur durchgeführt zu haben. Insgesamt sollen über 1․800 Opfer in 71 Ländern betroffen gewesen sein und erhebliche Schäden erlitten haben. Die Strafverfolgungsoperation; die am 26. Oktober stattfand, führte zur Beschlagnahmung von 52․000 US-Dollar Bargeld, fünf Luxusfahrzeugen und elektronischen Geräten. Die meisten der Verdächtigen gelten als hochrangige Zielpersonen, da gegen sie in verschiedenen Zuständigkeitsbereichen ermittelt wird.
Ransomware-Angriffe in arbeitsteiligem Zusammenwirken
Jeder der mutmaßlichen Cyberkriminellen hatte offenbar eine spezielle Aufgabe in der Organisation. Einige waren für das Eindringen in die Systeme eines Unternehmens mithilfe von Brute-Force-Angriffen, SQL-Injections, Phishing-E-Mails und gestohlenen Anmeldedaten zuständig. Andere konzentrierten sich auf den Einsatz von Malware wie Trickbot oder Post-Exploitation-Frameworks wie PowerShell Empire und Cobalt Strike. Einige weitere Verdächtige waren für die Geldwäsche von Lösegeldzahlungen zuständig.
Gemäß Europol blieben die Hacker monatelang unbemerkt in den einmal von ihnen kompromittierten Systemen. Dort suchten sie ungestört nach Schwachstellen in den IT-Netzwerken um weiteren Zugang zu erhalten. Erst dann kamen verschiedene Ransomware-Familien zum Einsatz darunter LockerGoga MegaCortex und Dharma um die Zielrechner zu verschlüsseln. Durch sich anschließende Lösegeldforderungen zogen die Hacker Geld aus den Aktionen und boten ihren Opfern ein Tauschgeschäft an. Gegen eine Bitcoinzahlung sollten diese den Entschlüsselungs-Schlüssel erhalten.
Internationale Ermittler im Einsatz
Mehr als 50 ausländische Ermittler, darunter sechs Europol-Spezialisten, kamen am Aktionstag in der Ukraine zum Einsatz um die Nationalpolizei bei der Durchführung gemeinsamer Ermittlungsmaßnahmen zu unterstützen. Ein ukrainischer Cyber-Polizist wurde ähnlich wie für zwei Monate zu Europol abgeordnet um sich auf den Aktionstag vorzubereiten.
Ein Opfer der Bedrohungsakteure war laut der norwegischen Polizei der norwegische Metall- und Energieriese Norsk Hydro der nach einem Angriff im Jahr 2019 mehrere Millionen Dollar verlor.
Kommentare
Die Festnahme der mutmaßlichen Mitglieder dieser weltweit operierenden Cyber-Bande ist ein wichtiger Schritt im Kampf gegen Ransomware-Angriffe auf kritische Infrastruktur. Durch die internationale Zusammenarbeit der Ermittler konnte ein großer Schlag gegen die organisierte Cyberkriminalität erreicht werden. Dennoch ist es wichtig, dass Unternehmen und Organisationen weiterhin Maßnahmen zum Schutz ihrer IT-Systeme ergreifen um sich vor dieser Art von Angriffen zu schützen.