In grenzübergreifender Zusammenarbeit ist es deutschen und US-amerikanischen Behörden gestern gelungen, ein international agierendes Hackernetzwerk zu zerschlagen. Die Tätergruppierung „Hive“ wird für mehr als tausend schwerste Cyberangriffe auf Unternehmen und Organisationen verantwortlich gemacht.
Was steckt hinter den schweren Cyberangriffen?
Die Gruppe, die im Darknet unter dem Namen „Hive“ auftrat, soll allein in Deutschland für mehr als 70 Cyberangriffe mit anschließender Erpressung verantwortlich sein. Weltweit soll es sich nach Angaben der Stuttgarter Staatsanwaltschaft und des US-Justizministeriums seit Mitte 2021 um mehr als 1 500 Angriffe in über 80 Ländern handeln. Im Fokus der Täter: Finanzunternehmen, Krankenhäuser sowie wichtige Infrastruktur. Mit Ransomware, die als eine der gravierendsten Bedrohungen gilt, verschlüsseln die Kriminellen wichtige Daten von den Unternehmen oder sperren mithilfe des Schadprogramms gleich den ganzen Computer. Anschließend wird von den betroffenen Einrichtungen ein Lösegeld gefordert, um den Zugriff wieder freizugeben. Die Lösegeldzahlung erfolgt meist mit der Digitalwährung Bitcoin. Um Druck auf die Opfer auszuüben, wird zudem damit gedroht, sensible Daten zu veröffentlichen. Da die Unternehmen auf ihre Daten angewiesen sind, sind viele bereit, das Lösegeld zu bezahlen, um wieder Zugriff zu erhalten. Seit Juni 2021 habe „Hive“ nach Angaben des US-Justizministeriums mehr als 100 Millionen Dollar durch diese Erpressungen erbeutet. Die Ermittler gehen allerdings davon aus, dass durch entsprechende Erpressungen des international agierenden Hackernetzwerks Schäden in Milliardenhöhe entstehen. Schätzungen des Digitalverbands Bitkom zufolge, entsteht allein in der deutschen Wirtschaft jedes Jahr ein Schaden in Höhe von 220 Milliarden Euro durch diese Cyberangriffe.
„Seit Juli vergangenen Jahres haben wir mehr als 300 Opfern auf der ganzen Welt geholfen und so Lösegeldzahlungen in Höhe von etwa 130 Millionen US-Dollar verhindert“, so US-Justizminister Merrick Garland.
Wie gelang den Ermittlern der Schlag gegen „Hive“?
Nachdem ein Unternehmen im Landkreis Esslingen Opfer einer solch schweren Cyberattacke wurde, nahmen Cyberspezialisten aus Esslingen die Spur der Erpresser auf. Hierbei entdeckten sie das bis dahin noch unbekannte Hackernetzwerk „Hive“. Im letzten Jahr gelang es den Spezialisten dann, in die kriminelle IT-Infrastruktur der Täter einzudringen. Mit den entscheidenden Hinweisen aus Deutschland, gelang es dem FBI Mitte letzten Jahres unbemerkt in das Kontrollzentrum von „Hive“ einzudringen. Mit den hierbei erlangten Softwareschlüsseln konnten sie die verschlüsselten Dateien der betroffenen Unternehmen wieder entschlüsseln. „Einfach ausgedrückt: Wir haben die Hacker mit legalen Mitteln gehackt und den Spieß umgedreht“, sagt Lisa Monaco, stellvertretende US-Justizministerin. An den Ermittlungen waren neben der US-amerikanischen Justiz auch der Secret Service, das FBI, Europol, das Bundeskriminalamt Wiesbaden, die Staatsanwaltschaft Tübingen, das Polizeipräsidium Reutlingen sowie Sicherheitsbehörden aus anderen Ländern beteiligt.
„Es hat sich wieder einmal gezeigt, dass eine intensive und von gegenseitigem Vertrauen geprägte Zusammenarbeit über Ländergrenzen und Kontinente hinweg der Schlüssel zur schlagkräftigen Bekämpfung der schweren Cyberkriminalität ist“, resümiert Reutlingens Polizeipräsident Udo Vogel.
die zerschlagung des cyberkriminellen hacker-netzwerkes hive ist auch ein beweis dafür wie angstvoll unternehmen reagieren sobald eine drohnachricht eintrudelt. ich möchte das so formulieren:
jedes unternehmen hat doch täglich datensicherung auf externe datenträger durchzuführen. oder ist das nicht mehr gefordert?
das bedeutet wenn ein unternehmen täglich datensicherung auf externe datenträger durchführt dann sind alle daten „gerettet/gesichert“. also nicht angreifbar/nicht erpreßbar.
und wieso setzen diese geschädigten unternehmen und organisationen die eine tägliche datensicherung aktualisieren dann nicht deren/ihre computer oder andere in gebrauch/nutzung befindlichen internetfähigen engeräte sofort nach eingang einer erpressungsnachricht deren/ihre hardware/geräte auf „werkseintellungen“ zurück?
danach kann der rechner/das internetfähige endgerät neu gebootet werden und dabei neue paßwörter eingerichtet werden. bei einer „auf werkseinstellung zurückgesetzte hardware/computer“ sind alle vorherigen daten komplett gelöscht. allerdings würde ich empfehlen die zurückgesetzte hardware/computer einige stunden besser über nacht ausgeschaltet und auf nicht existent zu lassen. je nach vielfalt können viele daten bereinigt werden/müssen.
nach dem „neu einrichten der hardware“ hat kein hacker mehr zugriff auf die geraubten erpreßten daten da alle daten beim zurücksetzen auf werkseinstellungen gelöscht werden: wie ein fdisk/regedit. wobei nicht mal sicher ist daß die daten wirklich in den besitz der hacker gelangt sind. eine phishing-erpressung.
andererseits kann das hacken eines unternehmens/einer organisation auch damit zusammen hängen daß vielleicht ein plagiat gekauft wurde. eine unerlaubt als plagiat veränderte hardware/software des geräteherstellers gefälscht ohne daß das beim kauf bemerkt werden kann. ein hinweis kann durchaus sein daß bei einem plagiat an der gerätehülle sichtbar sein kann daß das gerät/die hardware unerlaubt geöffnet wurde. im dunklen kann man da vielleicht einen lichtblitz aus dem inneren der hülle leuchten sehen wie einen spalt bei nicht geschlossener gerätehülle/gerätefassung. das ist bei einem original werksneuen engerät nicht möglich. es kann sein daß an der integrierten kamera verletzungen/manipulationen sichtbar sind die man mit den fingern fühlen kann als hätte jemand mit einem pickel eine kameralinse zerschlagen wollen.
keine falschen gedanken. ich bin geschädigte durch mir verkaufte androidgeräte die zu plagiaten mißbraucht wurden. vielleicht nur um überwachungstools/abhörtools in das gerääteinnere zu platzieren, keines dieser mir verkauften mobilen internetfähigen endgeräte war noch original: und das beim örtlichen einzelhandel gekauft. also zigfach unentschuldbar. bei einem tablet deutscher herkunft hat die androidabteilung des gerätherstellers mein tablet analysiert aufgrund meiner bitte. 12 manipulationen hat der gerätehersteller analysiert und in den hardreset-modus gelistet. ich habe mir alle system-manipulationen abgeschrieben. sogar der „power on/off“ war manipuliert. ich konnte mein tablet nicht mal mehr booten.
da ist es doch wesentlich besser daß gerät das noch gebootet werden kann auf werkseinstellungen zurückzusetzen anstatt vor angst gelähmt in den tag zu leben.