Ransomware-Gang ALPHV, auch bekannt als ALPHV-ng, BlackCat und Noberus

Ransomware-Gang ALPHV mit Hilfe der Thurgauer Polizei gestoppt

20.12.2023 Lesezeit: 4 Min.

Die Ransomware-Gang ALPHV, auch bekannt als "BlackCat", wurde von Ermittlern infiltriert. Sie hat weltweit Schaden angerichtet.

Die offizielle Anlaufstelle der kriminellen Ransomware-Gang ALPHV wurde lahmgelegt. Das FBI informierte über die Beschlagnahmung der Website. An der weltweiten Operation waren auch mehrere europäische Sicherheitsbehörden beteiligt, darunter die Schweizer Kantonspolizei Thurgau.

ALPHV, auch bekannt als ALPHV-ng, BlackCat und Noberus, wurde erstmals im November 2021 beobachtet und ist eine Ransomware-as-a-Service-Bedrohung (RaaS), die Unternehmen in zahlreichen Sektoren weltweit angreift und dabei eine Triple-Extortion-Taktik (dreifache Erpressung) verwendet.

Auf 3 Kontinenten weltweit finden derzeit Ermittlungen statt

Mit Nordamerika, Europa und Australien laufen auf mindestens drei Kontinenten Untersuchungen.

Webseite Ransomware-Gang ALPHV offline — Die Website der Ransomware-Gang ALPHV ist nicht mehr im Netz.

Beteiligt sind unter anderem die National Crime Agency (NCA) in Großbritannien und die Direktion Staatsschutz und Nachrichtendienst (DSN) in Deutschland, die spanische und österreichische Nationalpolizei, die dänische Spezialeinheit für Kriminalität, aber auch die australische Bundespolizei und als europäische Koordinationsstelle Europol.

Mehr kann die Kantonspolizei Thurgau zu den komplexen Ermittlungen, die dem Vernehmen nach noch laufen, derzeit nicht sagen. Es dürfte sich um einen, wenn nicht den bisher größten Fall von Ransomware-Kriminalität handeln. Derzeit ist das Federal Bureau of Investigation (FBI) für die internationale Kommunikation zuständig.

FBI entwickelt Entschlüsselungstool

Das FBI hat ein Entschlüsselungstool entwickelt, um den Opfern zu helfen. Damit können diese ihre verschlüsselten Daten wiederherstellen. Das FBI hat mit Dutzenden von Opfern zusammengearbeitet. Dadurch konnten Lösegeldforderungen in Höhe von rund 68 Millionen Dollar verhindert werden.

Laut Durchsuchungsbefehl hatte ein vertraulicher Informant Zugang zur ALPHV-Infrastruktur. Er lieferte den Ermittlern die geheimen Schlüssel, mit denen die Cyberkriminellen die Daten der Opfer verschlüsselten.

Ransomware-Gang ALPHV ist gefährlich und skrupellos

ALPHV ist eine der gefährlichsten und aktivsten Ransomware-Gangs der Welt. Sie hat seit 2019 Tausende von Organisationen angegriffen. Sie verfügt über ausgefeilte Angriffstaktiken und ein bösartiges Vorgehen.

Die russischsprachigen Hintermänner arbeiteten mit kriminellen Partnern zusammen, um die Opfer zu hacken. In den letzten 18 Monaten hat sich ALPHV zur weltweit zweitgrößten RaaS-Variante entwickelt, die Hunderte Millionen Dollar an Lösegeldern erpresst hat. Sie verfolgten das Geschäftsmodell Ransomware-as-a-Service. Die Gang war bis vor wenigen Tagen aktiv. Zuletzt wurde ein Cyberangriff auf die Deutsche Energie-Agentur bekannt.

ALPHV traf eine Vielzahl von Sektoren, darunter Betreiber kritischer Infrastrukturen, Unternehmen des Finanzsektors, staatliche Bildungseinrichtungen und Industriekonzerne. Die genaue Zahl der Opfer und das Ausmaß der Schäden sind jedoch noch unbekannt.

Die Gang ging skrupellos vor. Sie publizierte Bilder von Brustkrebspatientinnen, um die Opfer unter Druck zu setzen. Außerdem zeigte sie säumige Zahler bei der US-Börsenaufsicht an.

Ransomware-Gang ALPHV ist noch nicht geschlagen

Ein Malware-Forschungsprojekt hat einen Chat mit dem ALPHV-Administrator veröffentlicht. Darin behauptet er, dass nur eine alte Domain beschlagnahmt wurde. Er habe die Server und Blogs auf neuen Internet-Adresse verschoben.

Die Strafverfolgungsbehörden haben die Gang jedoch weiterhin im Visier. Selbst wenn es der Gruppe gelingen sollte, auf einen anderen Server umzuziehen, dürfte die erhöhte Aufmerksamkeit der Ermittlungsbehörden die Bereitschaft krimineller Mitglieder, sich den Cyberkriminellen anzuschließen, einschränken. Einige Experten spekulieren, dass es sich bei der angeblich funktionierenden Website um einen vom FBI eingerichteten „Honeypot“ handelt.

Erhöhte Alarmbereitschaft

Die Hauptseite der Bande war bereits Anfang Dezember offline. Diese bestreitet, dass die Behörden die Website offline nahmen und setzt ihre Aktivitäten fort.

In den letzten Tagen gab es auch Abwerbeversuche von anderen Ransomware-Banden. Sie versuchten, technisch versierte ALPHV-Mitglieder anzuwerben.

Ob die Ransomware-Gang ALPHV damit endgültig durchkommt, bleibt abzuwarten.

Quelle: Justice Department Disrupts Prolific ALPHV/Blackcat Ransomware Variant.

Rafel RAT: Die unterschätzte Gefahr für Android-Smartphones

Die Android-Malware Ratel RAT hat es vor allem auf ältere Smartphones abgesehen, die keine Sicherheitsupdates mehr erhalten.

REvil-Ransomware-Angriffe führten zu Verurteilung

REvil-Partner zu über 13 Jahre Gefängnis verurteilt

Ein Mitglied der REvil-Ransomware-Group wurde zu mehr als 13 Jahren Gefängnis verurteilt. Zudem muss er 16 Mio. USD Entschädigung zahlen.

Storm-1811 missbraucht Microsoft Quick Assist zum Einsatz von Black Basta-Ransomware

Black Basta: Storm-1811 verankert Ransomware via Quick Assist

Storm-1811 missbraucht das Remote-Verbindungstool Quick Assist mittels Vishing-Angriffen zur Bereitstellung von Black Basta Ransomware.

Mikhail Matveev auf Most Wanted-Liste des FBI

Most Wanted-Hacker verspottet das FBI

Ein auf der Most Wanted-Liste des FBI international gesuchter Cyberkrimineller verkauft T-Shirts auf Twitter mit seinem Fahndungsfoto.

Dieser Hacker verbreitet gerade eine Malware, vor der Du Dich besser schützen solltest (Symbolbild)

Vor Malware schützen: 10 Regeln für ein sicheres Online-Verhalten

Da die Bedrohung durch Malware in letzter Zeit stark zugenommen hat, solltest Du Dich besser davor schützen. Wie das geht, erfährst Du hier.

Genshin Impact: Anti-Cheat-Datei hebelt Virenschutz aus

Sicherheitsforscher von Trend Micro warnen, dass Hacker bereits aktiv die Schwachstelle im Treiber „mhyprot2.sys“ von Genshin Impact nutzen.

DeadBolt-Hacker haben ein Problem mit ihren Schlüsseln (Symbolbild)

DeadBolt ausgetrickst: Polizei zieht Hackern ihre Schlüssel ab

Wer ein durch die DeadBolt-Ransomware verschlüsseltes NAS sein Eigen nennt, sollte mal bei der niederländischen Polizei vorbeischauen.

ALPHV/BlackCat Exit Scam: Ein Abgang mit Betrug und Chaos

Der Vorhang fällt für ALPHV/BlackCat: Ein Blick hinter die Kulissen des Exit-Scams dieser berüchtigten Ransomware-Bande.

Ransomware-Bande legt SEC-Beschwerde ein – Opfer hat Hack verschwiegen

Die Ransomware-Bande ALPHV hat Beschwerde bei der US-Börsenaufsichtsbehörde eingelegt. Eines ihrer Opfer soll einen Hack verschwiegen haben.

EvilExtractor: Windows-Malware stiehlt mehr als nur Passwörter

Auf Wunsch verschlüsselt die EvilExtractor-Malware auch Dein Windows-System und überträgt Browser-Daten und lokale Dateien an den Angreifer.

Ein junger Hacker sitzt vor seinen beiden Monitoren

Linux-Ransomware: Abyss Locker – Bedrohung für virtuelle Maschinen

Eine Linux-Variante der gefürchteten Ransomware "Abyss Locker" verbreitet sich derzeit rasant auf VMware ESXi Server Instanzen von Firmen.

Oakland ruft Notstand wegen Ransomware Angriff aus

Oakland wurde am Mittwoch letzter Woche Opfer eines Ransomware-Angriffes, der weiterhin diverse Systeme der US-Großstadt lahmlegt.

DoppelPaymer: LKA NRW enttarnt internationales Hacker-Netzwerk

DoppelPaymer: internationales Hacker-Netzwerk enttarnt

Das international agierende Hacker-Netzwerk DoppelPaymer soll mindestens 601 Unternehmen, Institutionen und Privatpersonen geschädigt haben.

Vermummter Hacker mit Tablet in der Hand

Halloware – Von einer Ransomware, die aus der Hölle kam

Vorsicht vor gruseligen Gewinnspielen zu Halloween! Skepsis ist angebracht, um sich vor Ransomware wie z.B. Halloware zu schützen.

Bildmontage eines Ransomware-Angriffs (Symbolbild)

Rechtsanwälte Froese & Partner Opfer von MalasLocker-Ransomware

Die renommierte Kölner Anwaltskanzlei Froese & Partner ist von der Ransomware MalasLocker betroffen. Statt Lösegeld werden Spenden gefordert.

Ein Rennwagen mit Firmenlogos von Continental

Continental von LockBit gehackt – jetzt folgt die Erpressung

LockBit behauptet, Daten des Konzerns gestohlen zu haben und will diese nun veröffentlichen. Continental hingegen schweigt sich aus.

Aiohttp im Visier von Hackern: Verwundbare Netzwerke in Gefahr

Die Sicherheitslücke in der Python-Bibliothek aiohttp wird derzeit aktiv ausgenutzt. Auch Deutschland befindet sich im Fokus der Angreifer.

Der Eisberg-Effekt: Was Ransomware Ihr Unternehmen wirklich kostet

Ransomware ist wie ein Eisberg: Der wahre Preis dafür, Opfer eines Angriffs zu werden, geht weit über die bloße Erfüllung der Geldforderungen der Angreifer hinaus.