Die Ransomware-Gang ALPHV, auch bekannt als "BlackCat", wurde von Ermittlern infiltriert. Sie hat weltweit Schaden angerichtet.
Die offizielle Anlaufstelle der kriminellen Ransomware-Gang ALPHV wurde lahmgelegt. Das FBI informierte über die Beschlagnahmung der Website. An der weltweiten Operation waren auch mehrere europäische Sicherheitsbehörden beteiligt, darunter die Schweizer Kantonspolizei Thurgau.
ALPHV, auch bekannt als ALPHV-ng, BlackCat und Noberus, wurde erstmals im November 2021 beobachtet und ist eine Ransomware-as-a-Service-Bedrohung (RaaS), die Unternehmen in zahlreichen Sektoren weltweit angreift und dabei eine Triple-Extortion-Taktik (dreifache Erpressung) verwendet.
Auf 3 Kontinenten weltweit finden derzeit Ermittlungen statt
Mit Nordamerika, Europa und Australien laufen auf mindestens drei Kontinenten Untersuchungen.
Beteiligt sind unter anderem die National Crime Agency (NCA) in Großbritannien und die Direktion Staatsschutz und Nachrichtendienst (DSN) in Deutschland, die spanische und österreichische Nationalpolizei, die dänische Spezialeinheit für Kriminalität, aber auch die australische Bundespolizei und als europäische Koordinationsstelle Europol.
Mehr kann die Kantonspolizei Thurgau zu den komplexen Ermittlungen, die dem Vernehmen nach noch laufen, derzeit nicht sagen. Es dürfte sich um einen, wenn nicht den bisher größten Fall von Ransomware-Kriminalität handeln. Derzeit ist das Federal Bureau of Investigation (FBI) für die internationale Kommunikation zuständig.
FBI entwickelt Entschlüsselungstool
Das FBI hat ein Entschlüsselungstool entwickelt, um den Opfern zu helfen. Damit können diese ihre verschlüsselten Daten wiederherstellen. Das FBI hat mit Dutzenden von Opfern zusammengearbeitet. Dadurch konnten Lösegeldforderungen in Höhe von rund 68 Millionen Dollar verhindert werden.
Laut Durchsuchungsbefehl hatte ein vertraulicher Informant Zugang zur ALPHV-Infrastruktur. Er lieferte den Ermittlern die geheimen Schlüssel, mit denen die Cyberkriminellen die Daten der Opfer verschlüsselten.
Ransomware-Gang ALPHV ist gefährlich und skrupellos
ALPHV ist eine der gefährlichsten und aktivsten Ransomware-Gangs der Welt. Sie hat seit 2019 Tausende von Organisationen angegriffen. Sie verfügt über ausgefeilte Angriffstaktiken und ein bösartiges Vorgehen.
Die russischsprachigen Hintermänner arbeiteten mit kriminellen Partnern zusammen, um die Opfer zu hacken. In den letzten 18 Monaten hat sich ALPHV zur weltweit zweitgrößten RaaS-Variante entwickelt, die Hunderte Millionen Dollar an Lösegeldern erpresst hat. Sie verfolgten das Geschäftsmodell Ransomware-as-a-Service. Die Gang war bis vor wenigen Tagen aktiv. Zuletzt wurde ein Cyberangriff auf die Deutsche Energie-Agentur bekannt.
ALPHV traf eine Vielzahl von Sektoren, darunter Betreiber kritischer Infrastrukturen, Unternehmen des Finanzsektors, staatliche Bildungseinrichtungen und Industriekonzerne. Die genaue Zahl der Opfer und das Ausmaß der Schäden sind jedoch noch unbekannt.
Die Gang ging skrupellos vor. Sie publizierte Bilder von Brustkrebspatientinnen, um die Opfer unter Druck zu setzen. Außerdem zeigte sie säumige Zahler bei der US-Börsenaufsicht an.
Ransomware-Gang ALPHV ist noch nicht geschlagen
Ein Malware-Forschungsprojekt hat einen Chat mit dem ALPHV-Administrator veröffentlicht. Darin behauptet er, dass nur eine alte Domain beschlagnahmt wurde. Er habe die Server und Blogs auf neuen Internet-Adresse verschoben.
Die Strafverfolgungsbehörden haben die Gang jedoch weiterhin im Visier. Selbst wenn es der Gruppe gelingen sollte, auf einen anderen Server umzuziehen, dürfte die erhöhte Aufmerksamkeit der Ermittlungsbehörden die Bereitschaft krimineller Mitglieder, sich den Cyberkriminellen anzuschließen, einschränken. Einige Experten spekulieren, dass es sich bei der angeblich funktionierenden Website um einen vom FBI eingerichteten „Honeypot“ handelt.
Erhöhte Alarmbereitschaft
Die Hauptseite der Bande war bereits Anfang Dezember offline. Diese bestreitet, dass die Behörden die Website offline nahmen und setzt ihre Aktivitäten fort.
In den letzten Tagen gab es auch Abwerbeversuche von anderen Ransomware-Banden. Sie versuchten, technisch versierte ALPHV-Mitglieder anzuwerben.
Ob die Ransomware-Gang ALPHV damit endgültig durchkommt, bleibt abzuwarten.
Quelle: Justice Department Disrupts Prolific ALPHV/Blackcat Ransomware Variant.