Das Hackerkollektiv „Hive“, bekannt für seine Ransomware-Angriffe, wurde kürzlich durch eine internationale Strafverfolgungsaktion erheblich geschwächt. Deutsche Ermittler, in Zusammenarbeit mit Behörden aus den Niederlanden und den USA, haben die Kontrolle über das Ransomware-Netzwerk von Hive übernommen. Diese Aktion umfasste auch die Polizei in der Ukraine und wurde von internationalen Strafverfolgungsbehörden wie Europol und Eurojust unterstützt. Dabei gelang es, den Anführer der Bande sowie 5 weitere Mitglieder der Gruppe zu verhaften. Die Gruppe war für Cyberangriffe in 71 Ländern verantwortlich und nutzte Schadsoftware wie LockerGoga, MegaCortex, HIVE und Dharma.
Hive war insbesondere dafür bekannt, Angriffe auf Krankenhäuser durchzuführen. Trotz des jüngsten Erfolgs gegen Hive warnen Experten davor, dass die Bedrohung durch die Gruppe noch nicht vollständig beseitigt ist, da Kriminelle sich oft schnell anpassen und neue Strategien entwickeln. Ermittler haben Haftbefehle gegen Hacker erwirkt, die unter anderem für die Lahmlegung der IT-Systeme der Düsseldorfer Uniklinik verantwortlich sein sollen.
Insgesamt soll die Gruppe Hive in den letzten anderthalb Jahren weltweit für mehr als 1500 schwere Cyberangriffe gegen Unternehmen und Organisationen verantwortlich gewesen sein. Diese jüngsten Verhaftungen und die Übernahme der IT-Infrastruktur von Hive sind ein bedeutender Schlag gegen das Ransomware-as-a-Service-Modell, das von solchen kriminellen Netzwerken verwendet wird. Es ist die Rede von über 100 Millionen erpressten Lösegeldern.
Welchen Effekt haben die Verhaftungen?
Der Niedergang des Hackerkollektivs Hive kann tatsächlich mehrere Auswirkungen auf andere Hacker und die breitere Landschaft der Cyberkriminalität haben:
- Abschreckungseffekt: Die erfolgreiche Operation gegen Hive sendet eine klare Botschaft an andere Cyberkriminelle über die Risiken und Konsequenzen, die mit ähnlichen Aktivitäten verbunden sind. Dies kann als Abschreckung wirken und potenzielle Hacker davon abhalten, Cyberkriminalität zu begehen.
- Störung des Ransomware-as-a-Service (RaaS)-Modells: Hive operierte unter einem RaaS-Modell und stellte anderen Kriminellen Ransomware-Tools und -Dienste zur Verfügung. Die Störung eines so bedeutenden Akteurs in diesem Bereich kann den RaaS-Markt vorübergehend destabilisieren und es anderen Hackern erschweren, auf diese Ressourcen zuzugreifen.
- Sammeln von Geheimdienstinformationen: Die Übernahme der Infrastruktur und der Mitglieder von Hive könnte den Strafverfolgungsbehörden wertvolle Geheimdienstinformationen liefern. Dazu könnten Taktiken, Techniken und Verfahren gehören, die von Hackern verwendet werden, sowie potenzielle Hinweise auf andere cyberkriminelle Einheiten.
- Psychologische Auswirkungen: Der Fall einer prominenten Gruppe wie Hive kann einen psychologischen Einfluss auf die Hacker-Community haben, was möglicherweise zu einer Abnahme der Moral und des Vertrauens unter anderen Cyberkriminellen führt.
- Veränderung der Cyberkriminalitäts-Taktiken: Mit der Zerschlagung einer großen Gruppe wie Hive könnten andere Hacker ihre Taktiken ändern oder sich auf andere Schwachstellen konzentrieren. Dies könnte zu einer vorübergehenden Abnahme bestimmter Arten von Cyberangriffen führen, aber auch zur Entstehung neuer Taktiken und Bedrohungen.
- Förderung von verstärkten Sicherheitsmaßnahmen: Die Öffentlichkeit rund um die Zerschlagung von Hive könnte Organisationen und Einzelpersonen dazu ermutigen, ihre Cybersicherheitsmaßnahmen zu verstärken, was es anderen Hackern erschweren würde, erfolgreich zu sein.
- Potenzial für neue Bedrohungsakteure: Während der Niedergang von Hive eine vorübergehende Lücke im Ökosystem der Cyberkriminalität schaffen könnte, ist es auch möglich, dass neue oder bestehende Gruppen versuchen, diese Lücke zu füllen. Dies könnte zum Aufstieg neuer Bedrohungen führen.
So funktionierte die RaaS Methode
Hive betrieb ein RaaS-Modell, bei dem sie ihre Ransomware anderen Cyberkriminellen zur Verfügung stellten. Dies ermöglichte es auch weniger technisch versierten Kriminellen, Ransomware-Angriffe durchzuführen. Sie zielten auf spezifische Organisationen oder Sektoren ab, darunter möglicherweise Gesundheitseinrichtungen, Bildungseinrichtungen und Regierungsbehörden. Solche Ziele wurden oft aufgrund ihrer kritischen Natur oder der Wahrscheinlichkeit einer Lösegeldzahlung ausgewählt.
- Phishing-Angriffe: Sie könnten Phishing-Techniken eingesetzt haben, um Benutzer dazu zu bringen, auf bösartige Links zu klicken oder infizierte Anhänge zu öffnen. Diese Taktik wird häufig verwendet, um Malware zu verbreiten oder Anmeldeinformationen zu stehlen.
- Ausnutzung von Sicherheitslücken: Hive-Mitglieder hätten bestehende Sicherheitslücken in Software und Systemen ausgenutzt, um unautorisierten Zugang zu erlangen. Solche Schwachstellen könnten unzureichend gesicherte Netzwerke, veraltete Software oder schlecht konfigurierte Systeme umfassen.
- Einsatz von Ransomware: Nach dem Eindringen in ein Netzwerk würden sie Ransomware einsetzen, um Daten zu verschlüsseln und den Zugriff darauf zu blockieren. Anschließend forderten sie ein Lösegeld für die Entschlüsselung der Daten.
- Doppelter Erpressungsansatz: In einigen Fällen könnten sie auch einen doppelten Erpressungsansatz verwendet haben, bei dem sie nicht nur Daten verschlüsselten, sondern auch drohten, gestohlene Daten zu veröffentlichen, um den Druck auf die Opfer zu erhöhen.
- Verschleierung und Vermeidung von Erkennung: Um Entdeckung und Gegenmaßnahmen zu vermeiden, könnten sie fortgeschrittene Taktiken zur Verschleierung ihrer Aktivitäten und zur Umgehung von Sicherheitsmaßnahmen eingesetzt haben.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: