AlphV: Internationale Ermittlungserfolge gegen BlackCat-Ransomware
von Mike Leitner | 3 Kommentare
Wie die Staatsanwaltschaft Göttingen berichtet, hat sie in Zusammenarbeit mit dem FBI und anderen internationalen Behörden einen bedeutenden Schlag gegen die Ransomware-Gruppe ALPHV, bekannt für ihre BlackCat-Ransomware, geschafft. Die Ermittlungen, die seit Dezember 2021 laufen, führten zur Beschlagnahmung der Website. Die Gruppe ist weltweit für Milliardenschäden verantwortlich ist, darunter fast 500 Millionen USD in Deutschland. BlackCat wird als „Ransomware as a Service“ im Darkweb angeboten, womit IT-Systeme vollständig verschlüsselt und nur gegen hohe Lösegeldzahlungen entschlüsselt werden konnten.
Der entscheidende Beitrag kam dabei aus Göttingen, die Zugriff zu dem Portal der Software erlangten. Hier gibt es auch Berichte, dass der Zugang durch eine einzelne Person zustande kam. Mithilfe dieses Zugangs konnte das FBI ca. 496 Schlüssel für die Ransomware sammeln, welche sie in einem Tool zur Verfügung stellen. Diese Schlüssel ermöglichten es, über 500 Opfern weltweit zu helfen, ihre Systeme wiederherzustellen, wodurch etwa 68 Millionen USD an Lösegeldforderungen gespart wurden. Zudem wurde die Domain für AlphVs Datenleck-Website beschlagnahmt, die nun ein Banner des FBI zeigt.
Am Dienstagnachmittag hat die Gruppe ihre Datenleck-Website dann kurz „entseized“. Kurz darauf wurde diese aber wieder entfernt. Die Domain ist also wahrscheinlich verbrannt und kann nicht mehr zurückerlangt werden. Im Onion/Tor-Netzwerk ist es so, dass onion-Domains aus einem privaten und öffentlichen Schlüssel bestehen. Die Domain wird mit dem privaten Schlüssel verbunden und die Daten werden verschlüsselt. Der öffentliche Schlüssel wird dann benötigt, um die Domain aufzurufen und die Daten zu lesen. Anscheinend hat die Gruppe an das FBI diesen privaten Schlüssel verloren. Eine neue Domain mit den Leaks gibt es auch schon.
„Wie ihr alle wisst, hat das FBI die Schlüssel zu unserem Blog erhalten, jetzt werden wir euch erzählen, wie alles passiert ist. Zuerst, wie alles passiert ist, nachdem wir ihre Dokumente studiert haben, verstehen wir, dass sie Zugang zu einem der Rechenzentren erhalten haben, da alle anderen Rechenzentren unberührt blieben, stellt sich heraus, dass sie einen unserer Hosts gehackt haben, vielleicht hat er ihnen sogar geholfen. Das Maximum, das sie haben, sind die Schlüssel für den letzten Monat bis anderthalb Monate, das sind etwa 400 Unternehmen, aber jetzt werden ihretwegen mehr als 3000 Unternehmen ihre Schlüssel niemals erhalten. Wegen ihrer Handlungen führen wir neue Regeln ein, oder besser gesagt, wir entfernen ALLE Regeln, außer einer, man darf die GUS nicht berühren, jetzt könnt ihr Krankenhäuser, Atomkraftwerke, was auch immer und wo auch immer blockieren. Die Beteiligung ist jetzt 90 % für alle Affiliates. Wir bieten den Unternehmen keine Rabatte an, die Zahlung erfolgt strikt in der Höhe, die wir angegeben haben. VIP-Affiliates erhalten ihr eigenes privates Partnerprogramm, das wir nur für sie auf einem separaten dedizierten Server aufbauen, komplett, voneinander isoliert.“
– Statement der Gruppe AlphV
Insgesamt lässt sich festhalten, dass der Erfolg gegen die Gruppe nur temporär sein kann. Die Gruppe hat bereits eine neue Leak-Seite und auch die Ransomware scheint aktiv zu funktionieren.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Unternehmen verstehen Datensicherheit offenbar nur auf die harte Tour. Aber vielleicht gelingt ja noch der große Schlag gegen diese Schmarotzer.
Na, dann erzähl doch mal, wie sich ein Unternehmen zu 100% absichern kann. Bin gespannt.
In meiner Welt wäre der anzustrebende Normalfall, dass eine Tür, auch wenn sie offen ist, nur von denen genutzt werden, für die sie auch gedacht ist.
Also, für mich sind die Arschgeigen, die Daten klauen oder verschlüsseln und dann die Eigner erpressen die Bösen und die, die etwas lernen müssen. Bei dir liest sich das ein bisschen wie, was zieht sie auch für einen kurzen Rock an.