Thurgauer Polizei hilft, russische Ransomware-Bande zu stoppen

Die offizielle Anlaufstelle der berüchtigten Ransomware-Bande ALPHV (auch bekannt als "BlackCat") ist von Strafverfolgungsbehörden lahmgelegt worden. Auf der Darknet-Seite der Cyberkriminellen prangte am Dienstag ein bekanntes Banner: Die US-Bundespolizei FBI informierte über die Beschlagnahmung ihrer Website.

"Diese Website ist beschlagnahmt worden": Mitteilung auf der Darknet-Seite der mutmasslich aus Russland stammenden Hacker- und Erpresserbande. (Source: Screenshot Watson)

An der internationalen Operation waren das FBI, das US-Justizministerium und mehrere europäische Sicherheitsbehörden beteiligt, darunter die Kantonspolizei Thurgau. Mediensprecher Andy Theler bestätigt: "Spezialistinnen und Spezialisten der Organisationseinheit Cybercrime bei der Kantonspolizei Thurgau waren involviert in die internationale Ermittlungs-Koordinationsgruppe zum Blackcat-Fall." 

Mehr darf die Thurgauer Kantonspolizei zum aktuellen Zeitpunkt nicht sagen zu den komplexen Ermittlungen, die dem Vernehmen nach immer noch am Laufen sind. Es dürfte sich um einen der bislang grössten Fälle von Ransomware-Kriminalität handeln, wenn nicht den grössten.

Für die internationale Kommunikation zeichnet das Federal Bureau of Investigation (FBI) verantwortlich. "Mit der Zerschlagung der Ransomware-Gruppe BlackCat hat das Justizministerium wieder einmal die Hacker gehackt", sagte Lisa O. Monaco, stellvertretende US-Generalstaatsanwältin. 

Auf mindestens drei Kontinenten laufen Ermittlungen: in Nordamerika, Europa sowie in Australien. Beteiligt sind unter anderem auch die National Crime Agency (NCA) in Grossbritannien und die Direktion Staatsschutz und Nachrichtendienst (DSN) in Deutschland, die spanische und österreichische Nationalpolizei, die dänische Spezialeinheit für Kriminalität, aber auch die australische Bundespolizei und als europäische Koordinationsstelle Europol.

Was macht die Operation so speziell?

Das FBI hat gemäss einer ausführlichen Medienmitteilung des US-Justizdepartements ein Entschlüsselungstool entwickelt. Mithilfe der Software soll es den Aussenstellen der US-Bundespolizei und Strafverfolgungsbehörden weltweit möglich sein, mehr als 500 betroffenen Opfern bei der Wiederherstellung von verschlüsselten Daten zu helfen. Inzwischen habe das FBI mit Dutzenden Betroffenen in den Vereinigten Staaten und auf internationaler Ebene zusammengearbeitet, um diese Lösung zu implementieren. So seien mehrere Opfer vor Lösegeldforderungen in Höhe von insgesamt etwa 68 Millionen Dollar bewahrt worden.

Wie aus einem Durchsuchungsbefehl hervorgeht, der am Dienstag im südlichen Bezirk von Florida veröffentlicht wurde, konnte die US-Bundespolizei im Rahmen der Ermittlungen auch Einblick in das Computernetzwerk der Ransomware-Gruppe erhalten und schliesslich mehrere von der Gruppe betriebene Websites beschlagnahmen.

Im Durchsuchungsbefehl heisst es, dass ein vertraulicher Informant Zugang zur ALPHV-Infrastruktur erhalten habe. Und diese Person verschaffte den Ermittlern wertvolle Daten. Konkret: die geheimen "Schlüssel", mit denen die Cyberkriminellen jeweils die Opferdaten verschlüsselten.

Wie gefährlich ist ALPHV?

ALPHV gehört zu den gefährlichsten und aktivsten Ransomware-Banden weltweit. Sie hat seit 2019 tausende Unternehmen und andere Organisationen attackiert. Sie erlangte mit ihren ausgefeilten Angriffs-Taktiken und einem besonders aggressiven Vorgehen einen besonderen Ruf.

Die russischsprachigen Hintermänner verfolgten das Geschäftsmodell Ransomware-as-a-Service (RaaS). Das heisst, sie arbeiteten mit kriminellen Geschäftspartnern (Affiliates) im Westen zusammen, um Opfer zu hacken.

Die Bande war bis vor wenigen Tagen aktiv. Zuletzt hatte sie unter anderem eine Cyberattacke auf die Deutsche Energie-Agentur (Dena) publik gemacht.

In den letzten 18 Monaten habe sich ALPHV zur zweithäufigsten RaaS-Variante der Welt entwickelt, gemessen an den Hunderten Millionen Dollar an Lösegeldern, die Opfer auf der ganzen Welt gezahlt hätten. Wegen des globalen Ausmasses dieser Verbrechen führten Strafverfolgungsbehörden in mehreren Ländern parallele Ermittlungen durch.

ALPHV nahm verschiedenste Branchen ins Visier, darunter Betreiber kritischer Infrastruktur, Unternehmen der Finanzbranche, staatliche Bildungsorganisationen und Industrie-Konzerne. Die genaue Zahl der Opfer und das volle Ausmass des Schadens sind jedoch weiterhin unbekannt.

Zu den Besonderheiten der Bande zählt ihre Skrupellosigkeit. Die Cyberkriminellen veröffentlichten unter anderem Bilder von Brustkrebs-Patientinnen, um ein Opfer noch mehr unter Druck zu setzen. Und zuletzt schwärzten sie sogar Zahlungsunwillige bei der US-Börsenaufsicht an.

Ist ALPHV damit endgültig erledigt?

Das ist nicht klar. VX Underground, ein auf Malware-Forschung spezialisiertes unabhängiges Online-Projekt, dessen Betreiber über beste Verbindungen in die russischsprachige Cyber-Unterwelt verfügen, hat am Dienstag zum Fall getwittert. Die Malware-Forscher, die den Kontakt zu den grössten Ransomware-Gruppen pflegen, veröffentlichten einen Ausschnitt aus einem angeblichen Chat mit dem ALPHV-Administrator. Darin wird behauptet, es sei "eine alte Domain" der Bande vom FBI beschlagnahmt worden. Und man habe "die Server und Blogs [an einen anderen Ort] verschoben".

Doch selbst wenn es der Bande gelungen sein sollte, auf einen separaten Server umzuziehen, werde die erhöhte Aufmerksamkeit der Strafverfolgungsbehörden wahrscheinlich die Bereitschaft der kriminellen Mitglieder einschränken, sich der Bande anzuschliessen. Einige Experten spekulieren, dass es sich bei der vermeintlich funktionsfähigen Website um einen vom FBI eingerichteten "Honeypot" handelt.

Die Darknet-Hauptseite der Bande war schon Anfang Dezember offline gegangen und dann während mehreren Tagen nicht mehr erreichbar. Daraufhin verbreiteten sich relativ schnell Gerüchte, dass sie von den Strafverfolgungsbehörden abgeschaltet worden sei. Entsprechende Mutmassungen wurden von der Bande kategorisch dementiert. Doch nun zeigt sich, dass die Cyberkriminellen gelogen haben.

In den vergangenen Tagen gab es auch bereits Abwerbungs-Versuche durch die Konkurrenz: Insbesondere die russische Ransomware-Bande LockBit soll versucht haben, technisch versierte ALPHV-Mitglieder an Bord zu holen.

Dieser Beitrag ist zuerst bei "watson.ch" erschienen.