Mitglieder der Clop-Ransomware-Bande in der Ukraine verhaftet

Cyber Security News

Mitglieder der berüchtigten FIN11 (Clop) Ransomware-Bande wurden heute von der ukrainischen Polizei in Zusammenarbeit mit Interpol und Strafverfolgungsbehörden aus den USA und Südkorea verhaftet.

In einer heute veröffentlichten Erklärung gab die ukrainische Polizei bekannt, dass sie sechs Personen verhaftet hat, die angeblich Teil der Finanz-Cybercrime-Bande FIN11 sind, die vermutlich hinter vielen hochkarätigen Cyber-Attacken steckt. Dazu gehören die Angriffe, bei denen Schwachstellen im FTA-Produkt von Accellion Anfang dieses Jahres ausgenutzt wurden, um auf das System des Flugzeugherstellers Bombardier zuzugreifen.

In der Erklärung umreißt die Polizei ihre Überzeugung, dass die sechs Verdächtigen “Ransomware-ähnliche Malware-Angriffe auf die Server von US-amerikanischen und koreanischen Unternehmen durchgeführt haben.” Dies beinhaltet die Verschlüsselung von persönlichen Daten von Mitarbeitern und Finanzberichten der Stanford University School of Medicine, der University of Maryland und der University of California.

Die Polizei fügte hinzu, dass sie neben den Verhaftungen auch Bargeld, Autos und eine Reihe von Apple Mac-Laptops und -Desktops beschlagnahmt hat. Sie erklärte: “Durch die gemeinsamen Anstrengungen der Strafverfolgungsbehörden war es möglich, den Betrieb der Infrastruktur zu stoppen, von der aus sich der Virus verbreitet, und die Kanäle für die Legalisierung von Kryptowährungen zu blockieren, die mit kriminellen Mitteln erlangt wurden.”

Die Ankündigung ist der jüngste von mehreren Erfolgen, die die Strafverfolgungsbehörden in letzter Zeit bei der Bekämpfung von cyberkriminellen Banden erzielt haben. Zum Beispiel hat das US-Justizministerium Anfang dieses Monats enthüllt, dass es ihm gelungen ist, etwa 2,3 Millionen Dollar der 4,4 Millionen Dollar an Kryptowährung zu beschlagnahmen, die von Colonial Pipeline nach dem Ransomware-Angriff auf das Kraftstofftransportunternehmen im Mai an die Darkside-Bande gezahlt wurden.

Sicherheitsexperten wie Kim Bromley, ein Senior Cyber Threat Intelligence Analyst bei Digital Shadows, erkennt die Bedeutung dieser Verhaftungen an: “Am 16. Juni 2021 gab die ukrainische Polizei die Verhaftung von Einzelpersonen und die Zerschlagung der Infrastruktur im Zusammenhang mit der Ransomware ‘Clop’ bekannt. Diese Aktivität erfolgt im Zuge des erhöhten Drucks von Strafverfolgungsbehörden und Regierungen auf Ransomware-Gruppen nach den jüngsten Angriffen auf kritische nationale Infrastrukturen in den USA. Die Clop-Ransomware ist seit Februar 2019 aktiv und hat es auf große Organisationen abgesehen. Trotz der beliebten Doppelerpressungstaktik ist die gemeldete Aktivität von Clop im Vergleich zu Ransomware-Gruppen wie “REvil” (alias Sodinokibi) oder “Conti” relativ gering.

“Anfang des Jahres stellte die Ransomware ‘Ziggy’ ihren Betrieb ein und begründete dies mit einer verstärkten Kontrolle durch die Strafverfolgungsbehörden. Diese Woche scheint auch die Ransomware “Avaddon” ihren Betrieb eingestellt zu haben. Anscheinend beginnt der konsequente Druck der Strafverfolgungsbehörden auf diese Bedrohungsgruppen eine positive Wirkung zu zeigen.”

John Hultquist, VP of Analysis, Mandiant Threat Intelligence, erläutert: “Die Cl0p-Operation wurde eingesetzt, um Organisationen weltweit in einer Vielzahl von Branchen zu stören und zu erpressen, darunter Telekommunikation, Pharmazeutik, Öl und Gas, Luft- und Raumfahrt und Technologie. Der Akteur FIN11 wurde stark mit dieser Operation in Verbindung gebracht, die sowohl Ransomware als auch Erpressung umfasste. Es ist jedoch unklar, ob die Verhaftungen FIN11-Akteure oder andere, die ebenfalls mit der Operation in Verbindung stehen könnten, umfassten.

“Die Verhaftungen in der Ukraine erinnern daran, dass das Land ein starker Partner der USA im Kampf gegen die Cyberkriminalität ist, und die Behörden dort bemühen sich, Kriminellen einen sicheren Hafen zu verwehren. Dies ist besonders relevant, da Präsident Biden und Putin den Stand der von Russland ausgehenden Cyber-Bedrohungen erörtern, einschließlich der Ransomware-Bedrohung, die zunehmend kritische Infrastrukturen und das tägliche Leben von Menschen auf der ganzen Welt bedroht.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com