In der vergangenen Woche haben deutsche und US-amerikanische Behörden (Polizei Baden-Württemberg sowie FBI und Secret Service) in Kooperation mit weiteren europäischen Sicherheitsbehörden das Hackernetzwerk „Hive“ nach einer gemeinsamen Ermittlung zerschlagen. Das ist ein Sieg, der gefeiert werden sollte.
Lothar Geuenich, VP Central Europe / DACH bei Check Point, beschreibt nachfolgend, wie mit dem Ende der Ransomware-Gruppe gleichzeitig der Start neuer Ermittlungsmethoden eingeleutet wurde und warum durch die Infiltration von Hackerbanden Lösegeldzahlungen nicht länger alternativlos sind.
Offenbar hatte die Gruppe durch Ransomware-Angriffe bereits rund 100 Millionen Euro von mehr als 1500 Unternehmen und Organisationen (davon 70 in Deutschland) erbeutet. Indem die Behörden die Hacker unbemerkt infiltrierten, konnten sie seit Juli über 300 Opfern von Ransomware die Entschlüsselungscodes zuspielen, wodurch diese ihre Daten wiedererlangen und Lösegeldzahlungen im Wert von fast 120 Millionen Euro verhindert werden konnten.
Soweit die Faktenlage. Zwar formen sich diese Banden häufig unter anderem Namen neu oder spalten sich in andere auf. Diese Aktion sendet jedoch eine wichtige Botschaft und hat wahrscheinlich einige Ransomware-Gruppen erschüttert, da sie nicht wissen, ob ihre Bande womöglich auch gerade überwacht werden könnte.
Bisher wurden noch keine Verhaftungen bekannt gegeben und die Ermittlungen dauern weiter an. Man muss bedenken, dass die Täter von den Behörden über ein halbes Jahr hinweg ohne deren Wissen beobachtet wurden. Man kann also gespannt sein, was mit den mit Hive in Verbindung stehenden Akteuren nun geschehen wird.
Interessant ist ebenfalls, dass die Ermittler sich – in einer koordinierten Strafverfolgung und mit legalen Mitteln – in die Systeme von Hive gehackt und darüber hinaus den Opfern heimlich geholfen haben, indem sie ihnen die Entschlüsselungscodes übergaben. Alles, während bei Hive das „Tagesgeschäft“ normal weiterlief.
Es ist damit zu rechnen, dass wir künftig häufiger von derartigen digitalen Ermittlungsmethoden lesen werden, da sie schneller und einfacher durchzuführen sind als mit herkömmlichen Methoden nach Cyberkriminellen zu fahnden und sie zu verhaften – vor allem wenn man an die Grenzen der internationalen Strafverfolgung denkt.
Andere Ransomware-Gruppen müssen nun damit rechnen, dass ihre Opfer die Entschlüsselungsschlüssel zugespielt bekommen und ihre „Operationen“ so ein frühzeitiges Ende nehmen. Denn der ist ihr einziger Hebel gegen ihre Opfer und entzieht ihnen sofort die Grundlage für das Geschäft mit der Datenerpressung.
Es sendet ebenso die Botschaft, dass Behörden sich der gleichen Methoden wie die Täter bedienen, um Operationen durchzuführen und Cyberkriminelle zu stören. Mit Hilfe der Strafverfolgungsbehörden müssen Betroffene den Ransomware-Banden bestenfalls kein Lösegeld zahlen, was dazu führen könnte, dass sich mehr Unternehmen melden, wenn sie mit einem Angriff konfrontiert werden.
Im besten Fall könnte das darin resultieren, dass weniger Unternehmen an die Kriminellen zahlen, wenn sie von erfolgreichen Ermittlungsverläufen wie der Zerschlagung der Hive-Gruppe mitbekommen.
Sicher war dieser (wenn auch bemerkenswerte) Ermittlungserfolg nicht das Anfang vom Ende der Ransomware-Ära. Doch der sendet mehrere wichtige Signale an alle Hackergruppen: Zum einen, dass die Strafverfolgung sich zunehmend den digitalen Raum und die Taktiken der Täter zunutze macht, um sie mit ihren eigenen Waffen zu schlagen.
Die Infiltration der Hive-Gruppe zeigt aber auch, dass die internationale Gemeinschaft erkannt hat, dass Cyberkriminalität länderübergreifende Ermittlung und Koordination unabdingbar macht. Das vermittelt den Hackern, dass sie sich nicht länger sicher fühlen können, wenn sie aus dem Ausland Angriffe initiieren, ohne die Justiz fürchten zu müssen.
Man darf gespannt sein, welche Ermittlungen folgen werden – und welche Hacker-Gruppe womöglich bereits unwissentlich infiltriert wurde.