Strafverfolgung führt Razzia gegen Ransomware-Gruppe durch, die US-Universitäten zu ihren Zielen zählte

Cyber Security News

Die ukrainischen Behörden zeigen das beschlagnahmte Geld bei einer Razzia am 15. Juni, die zur Verhaftung von sechs Personen führte, die der Cl0p-Ransomware-Bande angehören sollen. (Credit: Ukrainische Cyber-Polizei)

Strafverfolgungsbehörden in der Ukraine haben in Zusammenarbeit mit US-amerikanischen und koreanischen Behörden sechs Personen verhaftet, die der Cl0p-Ransomware-Bande angehören sollen, die US-Universitäten zu ihren Zielen zählte.

Die Einzelpersonen und die Gruppe werden angeklagt, weil sie an einem Ransomware-Angriff auf vier koreanische Unternehmen im Jahr 2019 beteiligt waren, der mehr als 800 Computer und Server infizierte, sowie an neueren Infektionen des Stanford University Medical Center, der University of Maryland und der University of California im Jahr 2021. Die ukrainischen Behörden bezifferten den Gesamtschaden der Angriffe auf 500 Millionen US-Dollar, und den Angeklagten drohen Anklagen, die zu bis zu acht Jahren Gefängnis führen können.

Ein fünfminütiges Video, das am 16. Juni von der ukrainischen Polizei auf YouTube hochgeladen wurde, zeigt die Razzien der Strafverfolgungsbehörden in den Häusern der Verdächtigen, wobei elektrische Sägen und Rammböcke verwendet werden, um Türen einzuschlagen, Telefone und Autos zu beschlagnahmen und Hartgeld und andere Beweise aus Tresoren zu ziehen. Laut einer übersetzten Ankündigung wurden insgesamt 5 Millionen ukrainische Hrvvnias – oder etwa 185.000 $ – beschlagnahmt.

Die Behörden sagten, dass der Angriff mit einem erfolgreichen E-Mail-Phish begann, der es den Akteuren ermöglichte, den Remote-Access-Trojaner “FlawedAmmyy” einzusetzen, der Schwachstellen im Quellcode des beliebten Remote-Tools Ammy Admin ausnutzt. Nachdem sie sich Zugang verschafft hatten, durchsuchten sie mit Cobalt Strike das Netzwerk des Opfers nach weiteren Schwachstellen, verschlüsselten die Daten der Unternehmen und erzwangen die Zahlung eines nicht genannten Lösegelds.

Laut Unit 42 von Palo Alto Networks ist Cl0p seit mindestens Februar 2019 im Umlauf und begann mit wahllosen Spam-E-Mail-Kampagnen, bevor es sich zu einem Ransomware-Jäger entwickelte, der es auf bestimmte Unternehmen abgesehen hatte.

Einer der bemerkenswertesten Vorfälle der Gruppe fand Anfang dieses Jahres statt, als sie versuchte, große Unternehmen wie Shell, Qualys, Jones Day, Flagstar und andere zu erpressen, die das Accellion-Dateiübertragungssystem verwendeten. Ransomware-Analysten sagen, es sei immer noch nicht klar, ob die ClOp-Betreiber hinter der Kompromittierung steckten oder die Daten von einer anderen dritten Partei erworben haben.

Die Razzia bei Cl0p ist die jüngste in einer Reihe von Strafverfolgungs- und politischen Maßnahmen, die von Regierungen ergriffen wurden, um gegen Ransomware vorzugehen, die sich von einem lukrativen Finanzverbrechen zu einer nationalen Sicherheitsbedrohung entwickelt hat, da große Öl- und Gaspipeline-Betreiber, Fleischlieferanten und nationale Gesundheitssysteme nach einer Infektion zum Stillstand gekommen sind.

Es kommt am selben Tag, an dem US-Präsident Joe Biden und der russische Präsident Wladimir Putin sich zu einem hochkarätigen diplomatischen Treffen treffen, bei dem die Bedrohung durch Ransomware – und die Gleichgültigkeit oder stillschweigende Akzeptanz der russischen Regierung gegenüber der wachsenden und innerhalb ihrer Grenzen operierenden Cyberkriminalitätsindustrie – voraussichtlich ein wichtiges Thema sein wird.

Es ist immer noch nicht klar, wer die sechs Personen waren, ihre angebliche Verbindung oder Rollen innerhalb von Cl0p oder ihr aktueller rechtlicher Status (die Veröffentlichung bezieht sich auf sie als “Angeklagte”). John Hultquist, Vice President bei Mandiant Threat Intelligence, sagte, dass die Gruppe weltweit operiert und traditionell eine breite Palette von Branchen anvisiert.

“Die Cl0p-Operation wurde eingesetzt, um Organisationen weltweit in einer Vielzahl von Branchen zu stören und zu erpressen, darunter Telekommunikation, Pharmazeutik, Öl und Gas, Luft- und Raumfahrt und Technologie”, so Hultquist in einer Erklärung. “Der Akteur FIN11 wurde stark mit dieser Operation in Verbindung gebracht, die sowohl Ransomware als auch Erpressung umfasste, aber es ist unklar, ob die Verhaftungen FIN11-Akteure oder andere umfassten, die möglicherweise ebenfalls mit der Operation in Verbindung stehen.”

Allan Liksa, ein Ransomware-Analyst bei Recorded Future, teilte SC Media in einer E-Mail mit, dass Cl0p’s seit dem 10. Mai kein neues Opfer mehr auf seiner Leak-Site veröffentlicht hat, was auf eine geringere Aktivität in letzter Zeit hindeutet. Liska sagte, dass einige Gruppen, wie REvil, “ausufernd oder widerstandsfähig” sind, während andere, wie DarkSide, viel kleinere Kopfzahlen haben. Je nachdem, wie zentral die sechs Personen waren, könnte dies einen erheblichen Einfluss auf die Operationen von Cl0p haben.

“Es ist durchaus möglich, dass die Verhaftungen heute sind genug, um Cl0p Betrieb heruntergefahren – wir sahen, dass mit dem Egregor Takedown Anfang dieses Jahres; auch wenn nicht jeder verhaftet wurde, war es genug, um den Rest der Gruppe zu erschrecken und sie haben keine Operationen durchgeführt, seitdem,” sagte Liska in einer E-Mail.

Die Razzien erfolgen, nachdem internationale Behörden eine Reihe von Maßnahmen sowohl gegen die Betreiber von Ransomware als auch gegen das riesige Ökosystem aus IT-Infrastruktur und Geldwäscheprozessen ergriffen haben, auf das sie sich verlassen, um Zahlungen zu erhalten. Nach dem Colonial-Pipeline-Angriff sind Gruppen wie DarkSide, Avaddon, Babuk und andere entweder in den Untergrund gegangen oder haben sich umbenannt, während Botnets wie Egregor und Trickbot, die bekanntermaßen Ransomware ermöglichen, ebenfalls Gegenstand von Razzien und Beschlagnahmungen waren.

Liska sagte, dass mehr koordinierte Strafverfolgungsmaßnahmen erforderlich sind, und merkte an, dass diese möglicherweise kleinere Akteure in der Ransomware-Szene von weiteren Operationen abhalten. Die Aktionen scheinen sich zwar auf das Verhalten einiger großer Ransomware-Gruppen auszuwirken, verlangsamen das Tempo der beobachteten Angriffe jedoch nicht wesentlich.

“Im Monat nach der Colonial Pipeline-Attacke gab es fast 280 öffentlich gemeldete Ransomware-Angriffe mit der Hand auf der Tastatur. Aber wir haben definitiv viele Ransomware-Gruppen der zweiten und dritten Ebene gesehen, die beschlossen haben, dass es das Risiko nicht mehr wert ist”, so Liska.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com