Wie Tech erfahren hat, hat eine internationale Gruppe von Strafverfolgungsbehörden das Dark-Web-Portal der berüchtigten Ransomware-Gruppe RagnarLocker beschlagnahmt.
In einer Meldung auf der RagnarLocker-Website heißt es nun: „Dieser Dienst wurde im Rahmen einer koordinierten internationalen Strafverfolgungsmaßnahme gegen die RagnarLocker-Gruppe beschlagnahmt.“ Der Beschlagnahmungsmitteilung zufolge waren an der Operation Strafverfolgungsbehörden aus den USA, der Europäischen Union und Japan beteiligt.
Das volle Ausmaß der Operation ist noch nicht bekannt und es ist unklar, ob auch die Infrastruktur der Bande beschlagnahmt wurde, ob es zu Verhaftungen kam oder ob gestohlene Gelder wiedergefunden wurden.
Europol-Sprecherin Claire Georges bestätigte gegenüber Tech, dass die Agentur an „laufenden Maßnahmen gegen diese Ransomware-Gruppe“ beteiligt sei. Der Sprecher sagte, Europol plane, die Abschaltung am Freitag anzukündigen, „wenn alle Maßnahmen abgeschlossen sind“.
Ein namentlich nicht genannter Sprecher der italienischen Staatspolizei sagte außerdem, dass Einzelheiten des Einsatzes am Freitag veröffentlicht würden.
Tech hat auch Strafverfolgungsbehörden in den USA, Spanien, Lettland, Deutschland und den Niederlanden kontaktiert, aber noch keine Antwort erhalten.
RagnarLocker ist sowohl der Name einer Ransomware-Variante als auch der kriminellen Gruppe, die sie entwickelt und betreibt. Die Bande, die manche Sicherheitsexperten haben eine Verbindung zu Russland, werden seit 2020 bei Angriffen auf Opfer beobachtet und haben vor allem Organisationen im Bereich der kritischen Infrastruktur angegriffen.
In einer im letzten Jahr veröffentlichten Warnung warnte das FBI, dass es mindestens 52 US-Unternehmen in zehn kritischen Infrastruktursektoren, darunter Fertigung, Energie und Regierung, identifiziert habe, die von der Ransomware RagnarLocker betroffen seien. Zur gleichen Zeit das FBI freigegeben Indikatoren für eine Kompromittierung im Zusammenhang mit RagnarLocker, darunter Bitcoin-Adressen, die zum Sammeln von Lösegeldforderungen verwendet werden, und E-Mail-Adressen, die von den Betreibern der Bande verwendet werden.
Obwohl die Bande schon seit einiger Zeit unter den wachsamen Augen der Strafverfolgungsbehörden steht, hat der RagnarLocker laut Ransomware-Tracker erst in diesem Monat Opfer ins Visier genommen Ransomwatch. Im September übernahm die Bande die Verantwortung für einen Angriff auf das israelische Krankenhaus Mayanei Hayeshua und drohte damit, mehr als ein Terabyte an Daten preiszugeben, die angeblich bei dem Vorfall gestohlen worden waren.
Lorenzo Franceschi-Bicchierai trug zur Berichterstattung bei.