Eine internationale Gruppe von Strafverfolgungsbehörden hat die berüchtigte Ransomware-Operation RagnarLocker gestoppt.
Tech berichtete am Donnerstag, dass eine internationale Strafverfolgungsoperation, an der Behörden aus den USA, der Europäischen Union und Japan beteiligt waren, das Dark-Web-Portal der RagnarLocker-Gruppe beschlagnahmt hatte. Auf dem Portal, über das die Bande ihre Opfer durch die Veröffentlichung der gestohlenen Daten erpresste, heißt es nun: „Dieser Dienst wurde im Rahmen einer koordinierten internationalen Strafverfolgungsmaßnahme gegen die RagnarLocker-Gruppe beschlagnahmt.“
Ankündigung der Takedown Am Freitag bestätigte Europol, dass es koordinierte Maßnahmen gegen RagnarLocker ergriffen hat, das seiner Meinung nach für „zahlreiche hochkarätige Angriffe“ verantwortlich sei. Die Europäische Polizeibehörde bestätigte zudem die Festnahme eines 35-jährigen Mannes am 16. Oktober in Paris, den die Behörden als „Haupttäter“ des Einsatzes bezeichnen. Die Behörden durchsuchten das Haus des mutmaßlichen RagnarLocker-Entwicklers in der Tschechischen Republik. Auch in Spanien und Lettland wurden mutmaßliche Mitarbeiter des Projektentwicklers befragt.
Die Infrastruktur von RagnarLocker wurde auch in den Niederlanden, Deutschland und Schweden beschlagnahmt. Nach Angaben von Eurojust, der EU-Agentur, die die strafrechtliche Zusammenarbeit im gesamten Block koordiniert, wurden insgesamt neun Server beschlagnahmt: fünf in den Niederlanden, zwei in Deutschland und zwei in Schweden. Eurojust berichtet außerdem, dass es verschiedene Kryptowährungen beschlagnahmt habe, deren Wert jedoch derzeit unbekannt sei.
Die ukrainischen Behörden, die an der elf Länder umfassenden Operation beteiligt waren, teilten dies in einem separaten Bericht mit Bekanntmachung Am Freitag gaben Beamte bekannt, dass sie die Räumlichkeiten eines anderen RagnarLocker-Verdächtigen in der Nähe von Kiew durchsucht und Laptops, Mobiltelefone und andere elektronische Medien sichergestellt hätten.
In einer Pressemitteilung bestätigte die italienische Polizia di Stato (Staatspolizei) ihre Beteiligung an der koordinierten internationalen Aktion, die sie „Operation Mole“ nannte. Die italienische Strafverfolgungsbehörde hat auch ein Video veröffentlicht Das zeigt Aufnahmen einer Razzia französischer, italienischer und tschechischer Polizeibeamter, vermutlich im Haus des 35-jährigen Mannes, den sie festgenommen hatten.
RagnarLocker ist sowohl der Name einer Ransomware-Variante als auch der kriminellen Gruppe, die sie entwickelt und betreibt. Die Bande, die manche Sicherheitsexperten haben eine Verbindung zu Russland, werden seit 2020 bei Angriffen auf Opfer beobachtet und haben vor allem Organisationen im Bereich der kritischen Infrastruktur angegriffen.
Behörden durchsuchen das Haus des mutmaßlichen Entwicklers hinter der Ransomware RagnarLocker. Bildnachweis: Polizia di Stato (öffnet sich in einem neuen Fenster)
In einer im letzten Jahr veröffentlichten Warnung warnte das FBI, dass es mindestens 52 US-Unternehmen in zehn kritischen Infrastruktursektoren, darunter Fertigung, Energie und Regierung, identifiziert habe, die von der Ransomware RagnarLocker betroffen seien. Zur gleichen Zeit das FBI freigegeben Indikatoren für eine Kompromittierung im Zusammenhang mit RagnarLocker, darunter Bitcoin-Adressen, die zum Sammeln von Lösegeldforderungen verwendet werden, und E-Mail-Adressen, die von den Betreibern der Bande verwendet werden.
In ihrer Ankündigung vom Freitag erklärte die ukrainische Polizei, dass die RagnarLocker-Gruppe seit 2020 Daten von 168 internationalen Unternehmen in Europa und den Vereinigten Staaten angegriffen und herausgefiltert habe. Die Gruppe forderte von ihren Opfern Kryptowährungen im Wert von 5 bis 70 Millionen US-Dollar.
Wenn ein Opfer die Zahlung verweigerte oder die Strafverfolgungsbehörden über den Einbruch informierte, veröffentlichten die Hacker die Daten des Opfers auf der inzwischen beschlagnahmten dunklen Website der Gruppe.
„Ragnar Locker warnte seine Opfer ausdrücklich davor, sich an die Strafverfolgungsbehörden zu wenden, und drohte damit, alle gestohlenen Daten der Opferorganisationen, die Hilfe suchen, auf seiner Dark-Web-Leckseite „Wall of Shame“ zu veröffentlichen“, sagte Europol am Freitag. „Sie wussten nicht, dass die Strafverfolgungsbehörden ihnen auf den Fersen waren.“
Obwohl die Bande schon seit einiger Zeit unter den wachsamen Augen der Strafverfolgungsbehörden steht, hat RagnarLocker laut Ransomware-Tracker erst in diesem Monat Opfer ins Visier genommen Ransomwatch. Im September übernahm die Bande die Verantwortung für einen Angriff auf das israelische Krankenhaus Mayanei Hayeshua und drohte damit, mehr als ein Terabyte an Daten preiszugeben, die angeblich bei dem Vorfall gestohlen worden waren.
Lorenzo Franceschi-Bicchierai trug zur Berichterstattung und zum Schreiben bei. Dieser Artikel wurde erstmals am 19. Oktober veröffentlicht und mit neuen Details und Kommentaren von Europol und der italienischen Polizia di Stato (Staatspolizei) aktualisiert.