FBI und BKA infiltrierten verdeckt das Hive Ransomware Netzwerk und vereitelten Lösegeldforderungen in Höhe von über 130 Millionen Dollar (English Version below).
Das FBI hat in Zusammenarbeit mit den deutschen Strafverfolgungsbehörden (Bundeskriminalamt und Polizeipräsidium Reutlingen – Kripo Esslingen) und der niederländischen National High Tech Crime Unit die Kontrolle über die Server und Websites übernommen, über die das Hive Ransomware Netzwerk mit seinen Mitgliedern kommuniziert, und so die Möglichkeiten von Hive, Opfer anzugreifen und zu erpressen, unterbrochen hat.
Seit Ende Juli 2022 ist das FBI in die Computernetzwerke von Hive eingedrungen, hat die Entschlüsselungsschlüssel erbeutet und sie den Opfern weltweit zur Verfügung gestellt, so dass die Opfer kein Lösegeld in Höhe von 130 Millionen Dollar zahlen mussten. Seit der Infiltrierung des Hive-Netzwerks im Juli 2022 hat das FBI über 300 Entschlüsselungsschlüssel an Hive-Opfer verteilt, die angegriffen wurden.
Den Cyberspezialisten der Kriminalpolizeidirektion Esslingen war es im Rahmen von Ermittlungen zu einem Cyberangriff zum Nachteil eines im Landkreis Esslingen ansässigen Unternehmens im Laufe des vergangenen Jahres gelungen, in die kriminelle IT-Infrastruktur der Täter einzudringen, die Spur zu dem bis dahin nicht bekannten, weltweit agierenden Netzwerk „HIVE“ zurückzuverfolgen und den internationalen Partnern den entscheidenden Hinweis zu geben.
In enger Zusammenarbeit mit der US-amerikanischen Justiz, dem Secret Service, dem FBI, Europol, dem Bundeskriminalamt Wiesbaden und den Sicherheitsbehörden weiterer Staaten konnten der Gruppierung zwischenzeitlich weltweit über 1.500 schwere Cyberangriffe zum Nachteil von Unternehmen zugeordnet werden – über 70 davon allein in der Bundesrepublik Deutschland, drei davon in Baden-Württemberg. Die Ermittlungen waren nur möglich, da die Unternehmen der Erpressung nicht nachgaben, sondern gegenüber den Ermittlungsbehörden Strafanzeige erstatteten.
Der Kriminalpolizeidirektion Esslingen oblagen hierbei unter anderem die zentralen Ermittlungen für alle im Bundesgebiet registrierten Fälle und eine Vielzahl von verdeckten Ermittlungen im In- und Ausland.
„Es hat sich wieder einmal gezeigt, dass eine intensive und von gegenseitigem Vertrauen geprägte Zusammenarbeit über Landesgrenzen und Kontinente hinweg der Schlüssel zur schlagkräftigen Bekämpfung der schweren Cyberkriminalität ist. Wir sind dankbar, Teil dieses außergewöhnlichen Netzwerks mit hochprofessionellen Partnern zu sein und unseren Beitrag zu solchen Erfolgen leisten zu können“, sagte Polizeipräsident Vogel nach der erfolgreichen Operation am 26.01.2023 in Reutlingen.
Im letzten Jahr wurde die Ransomware HIVE als große Bedrohung identifiziert, da sie zur Kompromittierung und Verschlüsselung der Daten und Computersysteme großer IT- und Ölmultis in der EU und den USA eingesetzt wurde. Seit Juni 2021 sind über 1 500 Unternehmen aus über 80 Ländern weltweit Opfer von HIVE-Assoziierten geworden und haben fast 100 Millionen Euro an Lösegeldzahlungen verloren. Affiliates führten die Cyberangriffe aus, aber die Ransomware HIVE wurde von Entwicklern erstellt, gewartet und aktualisiert.
Die Partner nutzten das doppelte Erpressungsmodell der „Ransomware-as-a-Service“: Zunächst kopierten sie Daten und verschlüsselten die Dateien dann. Dann verlangten sie ein Lösegeld, um die Dateien zu entschlüsseln und die gestohlenen Daten nicht auf der Hive Leak Site zu veröffentlichen. Als die Opfer zahlten, wurde das Lösegeld zwischen Partnern (die 80 % erhielten) und Entwicklern (die 20 % erhielten) aufgeteilt.
Auch andere gefährliche Ransomware-Gruppen haben in den letzten Jahren dieses so genannte Ransomware-as-a-Service (RaaS)-Modell genutzt, um Angriffe auf hohem Niveau zu verüben. Dabei wurden Lösegelder in Millionenhöhe gefordert, um die betroffenen Systeme zu entschlüsseln, häufig in Unternehmen, die kritische Infrastrukturen unterhalten. Seit Juni 2021 haben Kriminelle die Ransomware HIVE eingesetzt, um ein breites Spektrum von Unternehmen und kritischen Infrastrukturen anzugreifen, darunter Regierungseinrichtungen, Telekommunikationsunternehmen, die Fertigungsindustrie, die Informationstechnologie sowie das Gesundheits- und Sozialwesen.
Bei einem größeren Angriff hatten es HIVE-Mitglieder auf ein Krankenhaus abgesehen, was schwerwiegende Auswirkungen auf den Umgang des Krankenhauses mit der COVID-19-Pandemie zur Folge hatte. Aufgrund des Angriffs musste das Krankenhaus auf analoge Methoden zurückgreifen, um bestehende Patienten zu behandeln, und war nicht in der Lage, neue Patienten aufzunehmen.
Die Mitgliedsorganisationen griffen Unternehmen auf unterschiedliche Weise an. Einige HIVE-Akteure verschafften sich Zugang zu den Netzwerken der Opfer, indem sie Single-Factor-Logins über das Remote Desktop Protocol, virtuelle private Netzwerke und andere Remote-Netzwerkverbindungsprotokolle verwendeten.
In anderen Fällen umgingen die HIVE-Akteure die Multifaktor-Authentifizierung und verschafften sich Zugang, indem sie Sicherheitslücken ausnutzten. Dies ermöglichte es böswilligen Cyberkriminellen, sich ohne die Aufforderung zur Eingabe des zweiten Authentifizierungsfaktors des Benutzers anzumelden, indem sie die Groß- und Kleinschreibung des Benutzernamens änderten.
Einige HIVE-Akteure verschafften sich auch einen ersten Zugang zu den Netzwerken der Opfer, indem sie Phishing-E-Mails mit bösartigen Anhängen verbreiteten und die Schwachstellen der Betriebssysteme der angegriffenen Geräte ausnutzten.
Adam Meyers, Leiter der Abteilung Intelligence, CrowdStrike, kommentiert: „HIVE SPIDER ist die kriminelle Bande, die für die Entwicklung der Ransomware Hive verantwortlich ist. Die Bande ist seit Juni 2021 aktiv und wirbt für ihr Programm über private Nachrichten und in kriminellen Foren. HIVE SPIDER unterhält auch eine spezielle Leak-Site (DLS), auf der die Mitglieder mit den Opfern korrespondieren, Verhandlungen führen und Opferdaten veröffentlichen.
Die Beschlagnahmung der DLS und des Portals für Opferverhandlungen ist ein großer Rückschlag für die Operationen des Gegners. Ohne Zugang zu beiden Seiten müssen die HIVE SPIDER-Mitglieder auf andere Kommunikationsmittel mit ihren Opfern zurückgreifen und alternative Wege finden, um Opferdaten zu veröffentlichen.“
Hier die Einschätzung von Jake Moore, Global Security Advisor bei ESET:
„Hive war eine Ransomware-Gruppe, die für ihre Skrupellosigkeit bekannt war. Viele Unternehmen, darunter kritische Infrastrukturen, Gesundheitseinrichtungen und Schulen wurden von den Hackern ohne Zögern angegriffen. Daher ist es besonders erfreulich, dass die Ermittlungsbehörden die Entschlüsselungscodes für die Ransomware gefunden und an Betroffene weitergeben konnten“, sagt Jake Moore, Global Security Advisor bei ESET. „Das Vorgehen der Strafverfolgungsbehörden dürfte für die Hackergruppe einen ziemlich schmerzhaften Schlag bedeuten. Gleichzeitig hat die Gruppe laut US-Behörden bereits rund 100 Millionen US-Dollar erpresst, und es gibt keine Hinweise auf ihre Festnahme der Kriminellen. Das bedeutet, dass sie wahrscheinlich immer noch auf freiem Fuß sind. Daher können wir nicht ausschließen, dass diese Operation sie möglicherweise dazu verleitet, ihre Angriffe zu verstärken – vielleicht sogar das Ermittlungsbehörden ins Visier zu nehmen, weil diese ihre Finanzen ruiniert haben.“
Kommentar von Satnam Narang, Senior Staff Research Engineer, beim IT-Sicherheitsanbieter Tenable:
„Die von den Sicherheitsbehörden ergriffenen Maßnahmen, um den Betrieb der Hive-Ransomware-Gruppe von innen heraus zu stören, sind ein beispielloser Schritt im Kampf gegen Ransomware, die für die meisten Unternehmen heute ständig die größte Bedrohung darstellt. Dies könnte zwar das Ende der Hive-Ransomware-Gruppe bedeuten, aber seine Mitglieder und Partner stellen weiterhin eine Bedrohung dar. Wenn wir aus vergangenen Störaktionen gegen Ransomware-Gruppen etwas gelernt haben, dann dass andere Gruppen aufstehen werden, um die hinterlassene Lücke zu füllen.
Affiliates, die normalerweise für die Durchführung der meisten dieser Angriffe verantwortlich sind, können leicht zu anderen Affiliate-Programmen von Gruppen wechseln, die weiterhin betriebsbereit sind, und Mitglieder von Ransomware-Gruppen können ihr Wissen ebenfalls an diese Gruppen weitergeben.
Einer der wichtigsten Wege, wie Ransomware-Gruppen Aufmerksamkeit und Bekanntheit erlangen, ist die Veröffentlichung ihrer erfolgreichen Angriffe auf Datenleck-Sites im Dark Web. Es würde mich nicht überraschen, wenn Ransomware-Gruppen die Bedrohung sehen, die durch die Wartung dieser Sites entsteht, und aufhören, diese Angriffe öffentlich aufzulisten in einem Versuch, unter dem Radar zu bleiben.“
Adam Marrè, CISO bei Arctic Wolf und ehemaliger FBI Cyber Special Agent, ordnet den Fall ein.
„Strafverfolgungsbehörden nutzen geheime Zugänge zu den Netzwerken und Systemen von Bedrohungsakteuren, um Beweise für strafrechtliche Ermittlungen zu unterschiedlichsten Arten von Cyberkriminalität zu sammeln – einschließlich Ransomware. Die aktuelle Operation ist ein gutes Beispiel dafür, wie ein umfassender Zugang zum Erfolg führen kann, um die Aktivitäten von Cyberkriminellen zu vereiteln. Leider ist dies so nicht immer möglich. Teilweise stützen sich – ebenfalls erfolgreiche – Ermittlungen auch auf geringere Zugangsmöglichkeiten. Ermittlungsfortschritte hängen dann häufig allein von Informanten ab und stützen sich nicht auf einen direkten technischen Access.
Die Zerschlagung des Hive-Hackernetzwerks bedeutet einen erheblichen Rückschlag für diese gefährliche kriminelle Organisation, die es auf Gesundheitssysteme abgesehen hat und damit letztlich eine Bedrohung für Leib und Leben darstellte. Auch wenn dieser Vorstoß die Menge der Ransomware-Aktivitäten in ihrer Gesamtheit nicht wesentlich reduziert, so ist es doch ein Signal an diejenigen, die solche Aktivitäten noch durchführen oder planen, es zu tun. Auch wenn anzunehmen ist, dass der Cyber-Crime-Markt, in irgendeiner Form einen Ersatz für den „Hive-Dienst“ hervorbringen wird, bleibt zu hoffen, dass dieser Durchbruch der Strafverfolgungsbehörden als Abschreckung für diejenigen dient, die Angriffe auf kritische Infrastrukturen wie Krankenhäuser ermöglichen.
Die Art dieses speziellen Zugriffs wird wahrscheinlich zu Verhaftungen führen oder dazu, dass die Strafverfolgung die beteiligten Personen überzeugt, als Informanten für weitere Ermittlungen mit ihr zusammenzuarbeiten. Es ist durchaus denkbar, dass einige Mitglieder der Ransomware-Gruppe Hive bereits vor der Zerschlagung dieses Netzwerks bekannt waren, die Strafverfolgungsbehörden jedoch noch nicht bereit waren oder die Zerschlagung über den technischen Access nicht mit Verhaftungsaktionen gefährden wollten.“
Der Kommentar von Candid Wüest, Vice President of Acronis Research: „Es sind keine Details bekannt, wie der Angreifer an die Daten gelangt ist. Am wahrscheinlichsten ist, dass eine Datenquelle wie eine Datenbank nicht gut geschützt war oder dass ein Zugangsschlüssel gestohlen wurde, der es dem Angreifer ermöglicht hätte, den gesamten Datensatz herunterzuladen, aber es ist unklar, welche Einrichtung zunächst über eine solche Datenbank verfügte. Es gab verschiedene Angriffe auf Städte, Bundesländer wie Kärnten und sogar das österreichische Außenministerium, die Zugang zu ähnlichen Datensätzen gehabt haben könnten. Glücklicherweise enthalten die Daten keine Zahlungsdaten oder Passwörter, was sie noch kritischer machen würde. Nichtsdestotrotz können solche Daten von Angreifern verwendet werden, um zukünftige Angriffe zu personalisieren, wie z.B. Phishing oder den Versuch, sich bei der Online-Bestellung von Dienstleistungen als Benutzer auszugeben. “
Chris Dobrec, VP Product & Industry Solutions bei Armis, erklärt:
Die gemeinsame Aktion des FBI in Abstimmung mit deutschen und niederländischen Behörden ist ein Erfolg gegen die ausgefeilten Techniken von Hive zu einem kritischen Zeitpunkt im Kampf gegen Ransomware-Gruppen. Allein in Deutschland waren bereits mehr als 70 Unternehmen von den Cyberkriminellen gehackt worden. Die Ermittlungen sind auch ein entscheidender Schritt in Richtung einer verstärkten internationalen Zusammenarbeit, um Bedrohungsakteure zum Nutzen aller an der Ausübung ihrer Tätigkeit zu hindern.
Neben diesem Erfolg der Strafverfolgungsbehörden stehen Ransomware-Gruppen unter Druck, weil sich aufgrund der wirtschaftlichen Situation immer weniger Unternehmen in der Lage befinden werden, das geforderte Lösegeld auch zu bezahlen. Diese Entwicklungen sind jedoch nicht der richtige Zeitpunkt für Unternehmen sich auszuruhen.
Untersuchungen wie der Armis Cyberwarfare-Report zeigen, dass 54 Prozent der Unternehmen weltweit zwischen Mai und Oktober 2022 einen Anstieg der Bedrohungsaktivitäten im Vergleich zu den sechs Monaten davor verzeichneten. Die vorübergehende Pause in den Aktivitäten der Hive-Gruppe bedeutet keineswegs einen Rückgang der Angriffe auf breiter Front. Unternehmen sollten den Zeitpunkt der Strafverfolgungs-Aktion zum Anlass nehmen, ihre Bemühungen, um ein proaktives Verständnis ihrer gesamten Angriffsfläche zu erneuern. Sie müssen Schwachstellen in ihrer Umgebung bewerten, die Priorisierung von Abhilfemaßnahmen zu verwalten und ihre Sicherheitsabwehr von innen nach außen zu stärken. Sie können dies auch nutzen, um ihre Politik zur Zahlung von Lösegeld zu bewerten.
Der gleichen Studie zufolge sind IT-Fachleute weltweit geteilter Meinung darüber, ob Lösegeld gezahlt werden soll: 24 Prozent der Befragten gaben an, dass ihr Unternehmen immer zahlt. 31 Prozent sagten, dass ihr Unternehmen nur zahlt, wenn Kundendaten gefährdet sind. 26 Prozent wiederum waren der Meinung, dass ihr Unternehmen nie zahlt. Weitere 19 Prozent gaben an, dass es im Zweifelsfall darauf ankommt. In den USA haben die zuständigen Behörden den betroffenen Unternehmen inzwischen unter Strafandrohungen untersagt das Lösegeld zu zahlen. Es bleibt abzuwarten, ob nicht auch andere europäische Länder diesem Beispiel folgen werden.
Trotz des Risikos ständiger Cyberangriffe steuern viele IT- und OT-Sicherheitsexperten in der DACH-Region ihre Sicherheitstools in gewissem Maße manuell. Die Ergebnisse zeigen, dass weniger als die Hälfte (47 %) der Unternehmen über automatisierte Sicherheitssoftware zur Erkennung von APTs verfügt – und dass, obwohl diese Bedrohungen als die gefährlichste Gruppe gelten und oft von nationalstaatlichen Angreifern unterstützt werden. Im Gegenteil: 44 Prozent dieser Unternehmen suchen manuell und mithilfe vordefinierter Warnungen nach verdächtigem Verhalten.
Tools zur Bestandsaufnahme konzentrieren sich zumeist auf Transparenz, liefern jedoch keine Informationen über Cyberbedrohungen. Dies erfordert, dass Unternehmen mit modernen hybriden Umgebungen separate Tools zur Bestandsaufnahme und Risikobewertung implementieren. Unternehmen mangelt es an einem vollständigen Bild ihrer Assets, sie kennen den wichtigen Risikokontext nicht und es klaffen Sicherheitslücken, die von Cyberkriminellen ausgenutzt werden können. Deshalb benötigen Sicherheitsteams eine Möglichkeit, über die statische Bestandsaufnahme all ihrer Assets hinauszugehen und auch deren Sicherheitskontext zu verstehen.
(English Version)
FBI and BKA smash Hive network
FBI and BKA covertly infiltrated the Hive Ransomware network and thwarted ransomware demands totaling over $130 million.
The FBI, in cooperation with German law enforcement (Bundeskriminalamt and Reutlingen Police Headquarters – Kripo Esslingen) and the Dutch National High Tech Crime Unit, took control of the servers and websites through which the Hive ransomware network communicated with its members, disrupting Hive’s ability to attack and extort victims.
Since late July 2022, the FBI has infiltrated Hive’s computer networks, captured the decryption keys, and made them available to victims worldwide so that victims did not have to pay a $130 million ransom. Since infiltrating the Hive network in July 2022, the FBI has distributed more than 300 decryption keys to Hive victims who were attacked.
In the course of investigations into a cyber attack to the detriment of a company based in the Esslingen district, cyber specialists from the Esslingen Criminal Police Directorate succeeded in penetrating the criminal IT infrastructure of the perpetrators, tracing the trail back to the previously unknown, globally active „HIVE“ network and providing the international partners with the decisive clue.
In close cooperation with the U.S. judiciary, the Secret Service, the FBI, Europol, the Federal Criminal Police Office in Wiesbaden, and the security authorities of other countries, it has since been possible to attribute more than 1,500 serious cyber attacks to the detriment of companies worldwide to the group – more than 70 of them in the Federal Republic of Germany alone, three of them in Baden-Württemberg. The investigations were only possible because the companies did not give in to the blackmail, but filed criminal charges with the investigating authorities.
The Esslingen Criminal Investigation Department was responsible, among other things, for the central investigation of all cases registered in Germany and for a large number of undercover investigations in Germany and abroad.
„Once again, it has been shown that intensive cooperation across national borders and continents, characterized by mutual trust, is the key to fighting serious cybercrime effectively. We are grateful to be part of this extraordinary network with highly professional partners and to be able to make our contribution to such successes,“ said Police Chief Vogel after the successful operation in Reutlingen on Jan. 26, 2023.
Last year, the HIVE ransomware was identified as a major threat because it was used to compromise and encrypt the data and computer systems of major IT and oil multinationals in the EU and the US. Since June 2021, more than 1,500 companies from over 80 countries worldwide have fallen victim to HIVE affiliates and lost nearly €100 million in ransom payments. Affiliates carried out the cyberattacks, but the HIVE ransomware was created, maintained, and updated by developers.
Affiliates used the double extortion model of ransomware-as-a-service: first, they copied data and then encrypted the files. Then they demanded a ransom to decrypt the files and not publish the stolen data on the Hive Leak site. When victims paid, the ransom was split between partners (who received 80%) and developers (who received 20%).
Other dangerous ransomware groups have also used this so-called Ransomware-as-a-Service (RaaS) model to perpetrate high-level attacks in recent years. This has involved demanding ransoms in the millions of dollars to decrypt affected systems, often at companies that maintain critical infrastructure. Since June 2021, criminals have used the HIVE ransomware to attack a wide range of businesses and critical infrastructure, including government entities, telecommunications companies, manufacturing, information technology, and healthcare and social services.
In one major attack, HIVE members targeted a hospital, resulting in serious repercussions for the hospital’s handling of the COVID-19 pandemic. As a result of the attack, the hospital had to resort to analogous methods to treat existing patients and was unable to accept new patients.
Member organizations attacked companies in a variety of ways. Some HIVE actors gained access to victims‘ networks by using single-factor logins via the Remote Desktop Protocol, virtual private networks, and other remote network connection protocols.
In other cases, HIVE actors bypassed multifactor authentication and gained access by exploiting vulnerabilities. This allowed malicious cybercriminals to log in without prompting for the user’s second authentication factor by changing the case of the username.
Some HIVE actors also gained initial access to victims‘ networks by distributing phishing emails with malicious attachments and exploiting vulnerabilities in the operating systems of the attacked devices.
Adam Meyers, Head of Intelligence, CrowdStrike: “HIVE SPIDER is the criminal adversary responsible for the development of Hive ransomware. The adversary has been in operation since June 2021 and advertises their program via private messages and also on criminal forums. HIVE SPIDER also maintains a dedicated leak site (DLS) where affiliates correspond with victims, conduct negotiations, and publish victim data.
The seizure of both the DLS and victim negotiation portal is a major setback to the adversary’s operations. Without access to either site, HIVE SPIDER affiliates will have to rely on other means of communication with their victims and will have to find alternate ways to publicly post victim data.”
Here’s the take from Jake Moore, Global Security Advisor at ESET:
„Hive was a ransomware group known for its ruthlessness. Many organizations, including critical infrastructure, healthcare facilities, and schools were attacked by the hackers without hesitation. So it’s especially gratifying that investigators were able to find the decryption keys for the ransomware and distribute them to affected individuals,“ said Jake Moore, Global Security Advisor at ESET. „The actions of law enforcement should be a pretty painful blow for the hacking group. At the same time, according to U.S. authorities, the group has already extorted about $100 million, and there is no indication that the criminals have been apprehended. This means that they are probably still at large. Therefore, we can’t rule out the possibility that this operation may tempt them to step up their attacks – perhaps even targeting investigative agencies for ruining their finances.“
Satnam Narang, Senior Staff Research Engineer, at IT security vendor Tenable:
„The actions taken by security agencies to disrupt the Hive ransomware group’s operations from the inside are an unprecedented step in the fight against ransomware, which is constantly the biggest threat to most enterprises today. While this could spell the end of the Hive ransomware group, its members and partners continue to pose a threat. If we have learned anything from past disruptive actions against ransomware groups, it is that other groups will rise up to fill the void left behind.
Affiliates, who are usually responsible for carrying out most of these attacks, can easily move to other affiliate programs of groups that remain operational, and members of ransomware groups can share their knowledge with those groups as well.
One of the main ways ransomware groups gain attention and notoriety is by publicizing their successful attacks on data leak sites on the dark web. It wouldn’t surprise me if ransomware groups see the threat posed by maintaining these sites and stop listing these attacks publicly in an attempt to stay under the radar.“
Adam Marrè, CISO at Arctic Wolf, and former FBI Cyber Special Agent:
„Law enforcement agencies use secret access to threat actors‘ networks and systems to gather evidence for criminal investigations into a wide variety of cybercrimes – including ransomware. The current operation is a good example of how broad access can lead to success in thwarting the activities of cybercriminals. Unfortunately, this is not always possible in this way. In some cases, investigations – which are also successful – rely on lower levels of access. Investigative progress then often depends solely on informants and does not rely on direct technical access.
The dismantling of the hive hacking network represents a significant setback for this dangerous criminal organization that targeted healthcare systems and ultimately posed a threat to life and limb. While this push does not significantly reduce the amount of ransomware activity in its entirety, it does send a signal to those who are still conducting such activities or planning to do so. While it is likely that the cyber-crime market, in some form, will produce a replacement for the „hive service,“ it is hoped that this law enforcement breakthrough will serve as a deterrent to those who enable attacks on critical infrastructure such as hospitals.
The nature of this particular access will likely lead to arrests or law enforcement convincing the individuals involved to cooperate with it as informants for further investigation. It is entirely possible that some members of the Hive ransomware group were known prior to the disruption of this network, but law enforcement was not yet ready or did not want to jeopardize the disruption via technical access with arrest actions.“
Candid Wüest of Acronis comments: „There are no details shared of how the attacker obtained the data. Most likely is that a data source such as a database was not well protected or that an access key was stolen, which then would allow the attacker to download the full data set, but it is unclear which entity had such a database to begin with. There have been various attacks against cities, stats like Carinthia and even the Austrian foreign ministry which might have had access to similar data sets. Fortunately, the data does not contain payment details or passwords, which would make it more critical. Nevertheless such data can be used by attackers to personalize future attacks such as phishing or trying to impersonate users when ordering services online. “
Chris Dobrec, VP Product & Industry Solutions at Armis said:
„The FBI’s joint action in coordination with German and Dutch authorities is a success against Hive’s sophisticated techniques at a critical time in the fight against ransomware groups. In Germany alone, more than 70 companies had already been hacked by the cybercriminals. The investigation is also a critical step toward increased international cooperation to prevent threat actors from operating for the benefit of all.
In addition to this law enforcement success, ransomware groups are under pressure because, due to the economic situation, fewer and fewer companies will be able to pay the ransom demanded. However, these developments are not the time for companies to rest.
Research such as the Armis Cyberwarfare Report shows that 54 percent of companies worldwide experienced an increase in threat activity between May and October 2022 compared to the previous six months. The temporary pause in hive activity by no means signifies a decline in attacks across the board. Enterprises should use the timing of the law enforcement action as an opportunity to renew their efforts to proactively understand their entire attack surface. They need to assess vulnerabilities in their environment, manage remediation prioritization, and strengthen their security defenses from the inside out. They can also use this to evaluate their ransomware payment policies.
According to the same study, IT professionals worldwide are divided on whether to pay ransom: 24 percent of respondents said their company always pays. Thirty-one percent said their company only pays when customer data is at risk. In turn, 26 percent felt their company never pays. Another 19 percent said that when in doubt, it matters. In the U.S., the responsible authorities have now prohibited the affected companies from paying the ransom under threat of punishment. It remains to be seen whether other European countries will follow suit.
Despite the risk of constant cyberattacks, many IT and OT security professionals in the DACH region control their security tools manually to some extent. The results show that less than half (47%) of enterprises have automated security software to detect APTs – despite the fact that these threats are considered the most dangerous group and are often supported by nation-state attackers. On the contrary, 44 percent of these organizations manually scan for suspicious behavior using predefined alerts.
Inventory tools mostly focus on visibility but do not provide cyber threat intelligence. This requires organizations with modern hybrid environments to implement separate inventory and risk assessment tools. Organizations lack a complete picture of their assets, don’t know the important risk context, and have gaping security holes that can be exploited by cybercriminals. That’s why security teams need a way to go beyond the static inventory of all their assets and also understand their security context“.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de