Hive (Crackergruppe)
Hive war eine Hackergruppe, die vor allem durch Ransomware-Angriffe auf Krankenhäuser und öffentliche Einrichtungen (darunter Schulen) bekannt wurde. Hive bot Ransomware-as-a-Service an und verdiente durch Erpressungen über 100 Millionen US-Dollar (92 Mio. Euro).[1][2][3][4]
Die Gruppe wurde im Juni 2021 entdeckt. 2022 gelang es amerikanischen Sicherheitsbehörden, Server und Webseiten der Gruppe zu konfiszieren. Sie stellten den Entschlüsselungsschlüssel der benutzten Programme sicher und fanden heraus, dass die Hacker auf Russisch kommunizierten.[1]
Vorgehen von Hive
BearbeitenHive-Mitglieder nutzten Techniken wie Phishing, gestohlene VPN-Zugänge und bekannte Sicherheitslücken, wie die Log4J-Lücke, um in Systeme einzudringen. Danach wurden alle Dateien des Systems verschlüsselt und eine Botschaft hinterlassen, dass man auf einer bestimmten TOR-Webseite einen Entschlüsselungscode kaufen könne.[5]
In den anschließenden Zahlungsverhandlungen trat Hive sehr professionell auf und war damit Vorreiter für eine Art Kundenmanagement in der cyberkriminellen Szene. So führte Hive ein Portal für Kunden, die dort ihre Malware-Dienste kaufen konnten, ein Portal für Opfer und Lösegeldzahlungen, sowie eine Leaking-Webseite, auf der erbeutete Daten veröffentlicht wurden.[6]
Hive hatte sich auf Infrastrukturziele spezialisiert. Angegriffen wurden viele Akteure im Gesundheitsbereich, darunter das Memorial Health System, der Costa Rican Social Security Fund[7] und das Lake Charles Memorial Health System. Ein weiteres prominentes Opfer war Tata Power.[2]
Zerschlagung der Gruppe
BearbeitenEine im Januar 2023 vom FBI veröffentlichte Mitteilung der Zerschlagung der Gruppe erwies sich als verfrüht.[8] Erst am 21. November 2023 gelang es im Zuge von Durchsuchungen in 30 Objekten in den Regionen Kiew, Tscherkassy, Riwne und Winnyzj durch Ermittler aus Norwegen, Frankreich, Deutschland, den USA und der Ukraine, die Aktivitäten der Gruppe zu beenden.[9]
Außerdem wurde im Mai 2023 der Russe Michail Pawlowitsch Matweew (russisch Михаил Павлович Матвеев) von der US-Justiz angeklagt. Der Kriminelle soll unter anderem auch mit Hive gearbeitet haben. Da Matweew in Russland lebt, konnte er nicht gefasst werden, aber es wurde ein Kopfgeld auf ihn von bis zu 10 Millionen US-Dollar vom Department of State ausgelobt.[10]
Siehe auch
BearbeitenEinzelnachweise
Bearbeiten- ↑ a b US authorities seize servers for Hive ransomware group. In: theguardian.com. The Guardian, abgerufen am 2. Februar 2023.
- ↑ a b Carly Page: Hive ransomware actors have extorted over $100M from victims, says FBI. 18. November 2022, abgerufen am 30. Januar 2023.
- ↑ Alert (AA22-321A). #StopRansomware: Hive Ransomware. 17. November 2022, abgerufen am 30. Januar 2023.
- ↑ Hackernetzwerk „Hive“ zerschlagen, Tagesschau, 26. Januar 2023, abgerufen am 2. Februar 2023
- ↑ Nadav Ovadia: Hive Ransomware Analysis. 19. April 2022, abgerufen am 30. Januar 2023.
- ↑ Jose Miguel Esparza: How Hive becomes one of the most dangerous ransomware group. In: outpost24.com. 25. Juli 2022, abgerufen am 30. Januar 2023 (englisch).
- ↑ Carly Page: Costa Rica’s public health system hit by Hive ransomware following Conti attacks. 1. Juni 2022, abgerufen am 30. Januar 2023 (englisch).
- ↑ Umar Shakir: FBI says it ‘hacked the hackers’ of a ransomware service, saving victims $130 million. The US Justice Department says it had access to the network since last July, obtaining and passing decryption keys to victims before they paid the attackers. 28. Januar 2023, abgerufen am 30. Januar 2023 (englisch).
- ↑ Christopher Kunz: Ukraine: Fünf Festnahmen bei Razzia gegen Ransomware-Bande. Heise Verlag Hannover, 29. November 2023, abgerufen am 29. November 2023.
- ↑ Russian National Charged with Ransomware Attacks Against Critical Infrastructure. Ransomware Attacks Against Law Enforcement Agencies in Washington, D.C. and New Jersey, As Well As Other Victims Worldwide; U.S. Department of State Offers Reward Up to $10M. 16. Mai 2023, abgerufen am 12. Mai 2023 (englisch).