Zwei russische Hackergruppen sind vorerst weg vom Fenster
Die Hacktivistengruppe "Ukrainian Cyber Alliance" hat die Ransomware-Bande Trigona mit ihren eigenen Waffen geschlagen. Auch die Ragnar-Locker-Gruppe hat schwere Verluste hinnehmen müssen.
Für die russischsprachigen Ransomware-Banden, die mit ihren Attacken grossen Schaden anrichten, kam es diese Woche knüppeldick: Gleich zwei aktive Gruppierungen mussten massive Rückschläge hinnehmen. Hier erfahren Sie alles Wichtige zu den aussergewöhnlichen Ereignissen.
Hacktivisten hacken russische Cyberkriminelle
Die Hacktivistengruppe "Ukrainian Cyber Alliance" hat der russischsprachigen Ransomware-Bande Trigona einen schweren Schlag versetzt: Die technisch versierten Hacker nutzten eine Sicherheitslücke in einer Server-Software, um das Darknet-Portal der Cyberkriminellen zu kapern.
Die Hacktivisten kopierten gemäss eigenen Angaben unbemerkt alle gespeicherten Daten, bevor sie diese löschten. Dann versahen sie die Startseite mit einer speziellen "Begrüssung", die sich an die Internet-Erpresser richtete: "Willkommen in der Welt, die ihr für andere geschaffen habt."
Die in einschlägigen Kreisen bekannten Darknet-Webadressen mit dem Kürzel ".onion" sind seit Kurzem nicht mehr über das Anonymisierungs-Netzwerk Tor erreichbar.
"Trigona ist weg!": Die Kriminellen bekamen auf ihrer eigenen Darknet-Seite dieses "Defacement" (Verunstaltung) zu Gesicht. (Source: https://twitter.com/vxunderground/status/1715031357041090755)
Trigona zählt zu den Banden, deren Geschäftsmodell als "Ransomware-as-a-Service" (RaaS) bezeichnet wird. Die Cyberkriminellen boten ihre IT-Infrastruktur Dritten gegen Bezahlung an, um Opfer zu hacken und zu erpressen.
Die gleichnamige Verschlüsselungs-Software ist seit Juni 2022 bekannt. Es handelte sich also um eine relativ junge Bande, wobei nicht auszuschliessen ist, dass die Mitglieder der Bande auch unter anderen Namen aktiv waren.
Gemäss den Angaben auf der Darknet-Seite stammten die meisten betroffenen Unternehmen aus den USA, aber auch in Europa wurden mehrere Organisationen gehackt und an den Pranger gestellt, weil sie nicht bezahlten. Zu Schweizer Opfern von Trigona ist Watson bislang nichts bekannt.
Die pro-ukrainischen Hacktivisten liessen bei X verlauten, dass sie die Daten der Ransomware-Bande zunächst selber auswerten wollen. Laut "Bleepingcomputer.com" könnten sie anschliessend an Strafverfolgungsbehörden weitergegeben werden.
Zu den angeblich erbeuteten Daten gehörten die Entwicklerumgebung samt Schadsoftware-Quellcode, Kryptowährungs-Konten und Datenbankeinträge, wie ein Mitglied der ukrainischen Cyberalliance bei X verlauten liess.
Dieser Screenshot soll belegen, dass die Hacktivisten zentrale Software-Elemente der russischsprachigen Cyberkriminellen erbeutet haben. (Source: https://twitter.com/vxunderground/status/1715031357041090755)
Der Schock muss tief gesessen haben bei den gehackten Cyberkriminellen: Als sie schliesslich die Eindringlinge in ihrem IT-System bemerkten, hätten sie noch verzweifelt versucht, die Passwörter zu ändern. Ohne Erfolg.
Inzwischen ist in einem russischen Hacker-Forum ein Posting veröffentlicht worden, das den Angriff bestätigt. Der Trigona-Administrator behauptet, die Bande werde schon in wenigen Tagen eine neue Infrastruktur in Betrieb nehmen.
Und damit kommen wir zu einer anderen, noch gefährlicheren Ransomware-Bande, die in dieser Woche einen verheerenden Rückschlag hinnehmen musste.
Ermittler legen Ragnar-Locker-Infrastruktur lahm
Die Darknet-Infrastruktur der russischsprachigen Ransomware-Bande Ragnar-Locker ist im Rahmen einer internationalen Strafverfolgungsoperation beschlagnahmt und ein mutmasslicher Hauptverantwortlicher von der Polizei verhaftet worden, wie Europol am Freitag mitteilte.
Dieser Warnhinweis-Banner auf der Leak-Seite im Darknet informierte seit Donnerstag über die internationale Polizeiaktion. (Source: https://twitter.com/vxunderground/status/1715031357041090755)
Laut Europol-Mitteilung wurden in einer koordinierten Aktion zwischen dem 16. und 20. Oktober Durchsuchungen in Tschechien, Spanien und Lettland durchgeführt. Das "Hauptziel", ein IT-Entwickler, sei in Paris, Frankreich, verhaftet, und seine Wohnung in Tschechien durchsucht worden. In den darauffolgenden Tagen seien ausserdem fünf Verdächtige in Spanien und Lettland von Ermittlern befragt worden. Am Ende der Aktionswoche wurde der Haupttäter, der verdächtigt wird, ein Entwickler der Ragnar-Gruppe zu sein, den Untersuchungsrichtern des Pariser Gerichts vorgeführt.
Die Infrastruktur der Ransomware-Bande sei auch in den Niederlanden, Deutschland und Schweden beschlagnahmt worden und die zugehörige Tor-Webseite für die Datenlecks sei in Schweden abgeschaltet worden.
Diese internationale Razzia sei "das Ergebnis komplexer Ermittlungen", die von der französischen Gendarmerie in Zusammenarbeit mit Strafverfolgungsbehörden aus Deutschland, Italien, Japan, Lettland, den Niederlanden, Schweden, Spanien, der Ukraine, der Tschechischen Republik und den USA durchgeführt wurden.
Bereits im Oktober 2021 seien Ermittler der französischen Gendarmerie und der US-Bundespolizei FBI mit Spezialisten von Europol und Interpol in die Ukraine entsandt worden. Sie führten laut Mitteilung mit der ukrainischen Nationalpolizei Ermittlungen durch, die zur Verhaftung von zwei prominenten Ragnar-Locker-Betreibern führten. Die Ermittlungen seien seitdem fortgesetzt worden und führten diese Woche zu den Verhaftungen und Beschlagnahmungen.
Wie Edvardas Šileris, Head of European Cybercrime Centre bei Europol sagt: "Diese Untersuchung zeigt einmal mehr, dass die internationale Zusammenarbeit der Schlüssel zum Sieg über Ransomware-Gruppen ist. Prävention und Sicherheit werden immer besser, doch die Betreiber von Ransomware sind weiterhin innovativ und finden neue Opfer.”
Was machte Ragnar-Locker so gefährlich?
Ragnar-Locker gilt als eine der am längsten aktiven Ransomware-Banden der Welt. Die Gruppe hat sich seit 2019 vor allem mit Cyberangriffen gegen Betreibergesellschaften von kritischer Infrastruktur einen Namen gemacht und gilt als eine Vorreiterin des sogenannten "Big Game Hunting": Das heisst, die Cyberkriminellen attackierten bevorzugt zahlungskräftige Grossunternehmen und stahlen wertvolle Daten.
Mit ihren Angriffswerkzeugen zielten die Hacker auf Rechner mit Microsoft-Windows-Betriebssystemen ab und sie nutzten in der Regel Online-Dienste wie das "Remote-Desktop-Protocol", um sich Zugang zu Systemen zu verschaffen.
Bis zur Stilllegung der Leak-Seite hatte Ragnar Locker dort über 100 Opfer aufgeführt, wie das IT-Sicherheitsunternehmen Crowdstrike in einer Mitteilung schreibt.
Laut FBI waren allein von April 2020 bis März 2022 mehr als 50 Organisationen in kritischen Wirtschaftssektoren durch Cyberangriffe von Ragnar-Locker betroffen, darunter der grosse Energieversorger Energias de Portugal (EDP) und die portugiesische Fluggesellschaft TAP, die US-Tochtergesellschaft des französischen Luft- und Raumfahrtunternehmens Dassault Aviation sowie das französische Schifffahrts- und Logistikunternehmen CMA CGM, aber auch ein grosses israelisches Spital und Griechenlands nationaler Erdgasbetreiber.
Dieser Beitrag ist zuerst bei "Watson" erschienen.