In der Cybersecurity gibt es keine Zeit für Müßiggang. Die Zerschlagung von Hive macht Platz für andere Gruppen, kommentiert Rabindra Dev Bhatta, Security Analytics Engineer bei Logpoint (English Version below)
Dass es FBI, BKA und anderen internationalen Polizeibehörden gelang, die IT-Infrastruktur der Hive Ransomware-Gang zu zerschlagen, ist von großer Bedeutung, da sie einen der wichtigen Vertriebskanal von Malware gestört hat. Die Gruppe zeichnete sich dadurch aus, dass sie keine ethische Verantwortung gegenüber Menschenleben zeigte und nicht damit zögerte auch Krankenhäuser anzugreifen und Lösegeld auf dem Rücken der Versorgungssicherheit der Patienten zu fordern.
Im Vergleich dazu hat die LockBit-Gruppe kürzlich einen Entschlüsselungsschlüssel als Entschuldigung veröffentlicht, nachdem Mitglieder mit ihren Aktivitäten ebenfalls Krankenhäuser in ihrer Funktionstüchtigkeit beeinträchtigt hatten. Gleichermaßen ist es ein Beweis dafür, dass die grenzüberschreitende Zusammenarbeit der Strafverfolgungsbehörden zu Ergebnissen führt, wenn es darum geht, diese Gruppen zu stoppen.
Im Vergleich zu anderen Ransomware Akteuren arbeitete das Hive Syndikat organisiert mit mehreren Portalen und verteilten Rollen. Während die Entwickler die Hive-Infrastrukturen aufbauten, pflegten und aktualisierten einschließlich Malware-Varianten, Datenleck-Website, die HiveLeaks und die Verhandlungssite, waren Affiliates sind verantwortlich, um Opfer zu orten, zu infizieren, ihre Dateien zu stehlen und Hive Ransomware über die Netzwerke der Opfer zu verbreiten. Hive bot Ransomware as a Service (RaaS) durch seine drei primären API-basierten Portale – Affiliate, Opfer und Datenleck-Seite.
Zwar ist die Zerschlagung ein schwerer Schlag für die gesamte Ransomware-Szene, aber es ist unwahrscheinlich, dass die Operation an sich dauerhaft gestoppt wird. Ransomware-as-a-Service (RaaS)-Operationen formieren sich oft neu und tauchen wieder auf oder aber es entstehen neue Gruppen, um die entstandene Lücke zu füllen. Ein Beispiel dafür ist die Play-Ransomware, die viele Gemeinsamkeiten mit Hive aufweist. Unternehmen sollten weiterhin gute Cybersicherheitspraktiken beibehalten, angemessene Schutzmaßnahmen ergreifen und regelmäßig Backups ihrer Daten erstellen, um sich vor Ransomware-Angriffen aller Gruppen zu schützen.
Dennoch ist der Erfolg der Strafverfolgungsbehörden ein Zeichen, dass sie Cyberkriminalität ernst nehmen. Personen, die mit der Ransomware Hive in Verbindung gebracht werden, müssen mit rechtlichen Konsequenzen rechnen. Allerdings sind bis heute keine Verhaftungen gemeldet worden.
Die Hive-Bande stand monatelang im Visier der internationalen Strafverfolgungsbehörden, bevor die Infrastruktur abgeschaltet wurde. Die Beschuldigten könnten der Geldwäsche, des Identitätsdiebstahls und des Computerbetrugs angeklagt werden. Im Falle einer Verurteilung drohen ihnen Haftstrafen, Geldbußen und andere Sanktionen. Dies hängt von den gesammelten Beweisen und der Gerichtsbarkeit ab, unter die die Schuldigen fallen.
Mit dem vorläufigen Ende der Hive-Bande senden die Behörden ein klares Signal an andere Ransomware-Betreiber, dass sie über die notwendigen Werkzeuge und Ressourcen verfügen, um solche Operationen aufzudecken. Es wird interessant sein zu sehen, ob andere Ransomware-Betreiber ihre Aktivitäten in der Folge überdenken werden. Außerdem kann lässt sich nur hoffen, dass die Beseitigung von Hive die Opfer dazu anregt, Ransomware-Angriffe zu melden, was den Strafverfolgungsbehörden hilft, die Gefahr besser zu verstehen und Daten für weitere Untersuchungen zu sammeln.
English version
New hackers incoming
In cybersecurity there is no time for idleness. The smashing of Hive makes room for other gangs, comments Rabindra Dev Bhatta, Security Analytics Engineer at Logpoint.
The fact that FBI, BKA and other international police authorities managed to smash the IT infrastructure of the Hive ransomware gang is of great importance as it has disturbed one of the important distribution channels of malware. The group was distinguished by the fact that it did not show any ethical responsibility towards human lives and did not hesitate to attack hospitals and demand ransom on the back of patient security.
In comparison, the LockBit Group has recently published a decryption key as an apology after members with their activities had also affected hospitals in their operability. Similarly, it is evidence that cross-border cooperation between law enforcement authorities leads to results when it comes to stopping these groups.
Compared to other ransomware players, the Hive Syndicate worked with several portals and distributed roles. While the developers built up the Hive infrastructures, cultivated and updated including malware variants, data leak website, the HiveLeaks and the negotiating site, were affiliates are responsible to locate, infect victims, steal their files and spread Hive Ransomware over the victims‘ networks. Hive offered ransomware as a Service (RaaS) through its three primary API-based portals – affiliates, victims and data leakage site.
Although crushing is a heavy blow for the entire ransomware scene, it is unlikely that the operation is permanently stopped. Ransomware-as-a-service (RaaS) operations often re-form and re-enter or new groups arise to fill the resulting gap. An example of this is the play ransomware that has many similarities with Hive. Companies should continue to maintain good cyber security practices, take appropriate safeguards and regularly create backups of their data to protect themselves from ransomware attacks from all groups.
Nevertheless, the success of law enforcement agencies is a sign that they take cybercrime seriously. Persons associated with the Hive ransomware must expect legal consequences. However, no arrests have been reported to date.
The Hive gang was targeted by international law enforcement agencies for months before the infrastructure was shut down. The accused could be accused of money laundering, identity theft and computer fraud. In the event of a conviction, they face imprisonment, fines and other sanctions. This depends on the evidence collected and the relevant jurisdiction.
The authorities sent a clear signal to other ransomware operators with the termination the Hive gang that they have the necessary tools and resources to expose such operations. It will be interesting to see if other ransomware operators will reconsider their activities in the sequence. Moreover, it can only be hoped that the elimination of Hive stimulates victims to report ransomware attacks, which helps law enforcement authorities to understand the risk better and collect data for further investigations.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de