Ransomware Hive
Author
Robin Laufenburg, Mo, 9. Mai. 2022
in IT-Sicherheit

Ransomware Hive

Hauptschlüssel für Hive-Ransomware entschlüsselt

Für Unternehmen wird Ransomware zur immer größeren Gefahr. An besonderer Beliebtheit erfreute sich vergangenes Jahr die Ransomware Hive. Mittlerweile ist der Hauptschlüssel der Hive-Ransomware zwar entschlüsselt, dennoch ist fraglich, wie lange das den Erpressertrojaner zurückhält.

Was die Ransomware Hive ist, wie die Hive-Gruppe vorgeht und wer zu ihren Opfern gehört, erfahren Sie hier.

Was ist die Ransomware Hive?

Die Ransomware Hive (aus dem Englischen für „Bienenstock“) ist seit Juni 2021 bekannt und gehörte im Sommer und Herbst 2021 zu den am häufigsten auftauchenden Ransomware-Varianten weltweit. Hive verbreitet sich, wie viele Schadprogramme, über Anhänge in Phishing-Mails, Spear-Phishing-Mails oder über Downloads auf Fake-Seiten. Nachdem Hive erst einmal ins System gelassen wurde, versucht der Erpressertrojaner das gesamte Netzwerk zu infiltrieren.

Konzipiert ist Hive dabei als Ransomware-as-a-Service. Bei dieser speziellen Form von Cybercrime-as-a-Service handelt es sich um einen buchbare Erpressertrojaner. Externe Cyberkriminelle buchen dabei ein Dashboard, mit dem sie die Hive-Ransomware verteilen und koordinieren können. Dabei stehen ihnen diverse Werkzeuge zur Verfügung, um Hive-Angriffe individuell zu gestalten. Mithilfe von Tools können Kriminelle nicht mehr nur Windows-Rechner angreifen, sondern auch Linux- und FreeBSD-Systemen verschlüsseln. Nach erfolgreichen Angriffen erhalten die Erpresser circa 80 Prozent, während sich die Hive-Gruppe circa 20 Prozent des ergaunerten Geldes auszahlen lässt.

Ransomware Hive

Die Ransomware Hive verdankt dem Bienenstock ihren Namen. Bild: Pexels/Pixabay

Datenveröffentlichung auf Hive-Leaks-Seite

Das Perfide an der Hive-Ransomware: Der Erpressertrojaner verschlüsselt die Daten nicht nur, sondern übermittelt sie auch an die Erpresser. Sollte der Angriff abgewehrt und die Lösungszahlung nicht erfüllt werden, werden die geklauten Daten auf einer Leak-Seite im Darknet veröffentlicht. Im Jahr 2021 reihten sich dort Datensätze von hunderten Unternehmen ein, die Opfer der Ransomware Hive wurden.

IT-Sicherheitsexperten sind sich aber sicher, dass die Dunkelziffer deutlich höher ist. Laut einem Bericht der Technologienachrichtenwebsite Bleeping Computer werden im täglichen Durchschnitt Datensätze von drei Unternehmen komprimiert. Viele der Unternehmen zahlen jedoch angesichts der angedrohten Datenveröffentlichung. Anders als andere Ransomware-Gruppen macht Hive dabei keinen Halt vor Betrieben aus kritischen Sektoren oder Branchen wie der gesundheitlichen Versorgung.

Prominente Opfer der Ransomware Hive

Internationales Aufsehen erlangte die Ransomware Hive bei Cyberangriffen auf mehrere Krankenhäuser, ambulante Kliniken und andere Gesundheitsdienstleister in den US-Bundesstaaten Missouri, Ohio und West Virginia. Die Notaufnahmen mussten umgeleitet werden, dringende chirurgische Eingriffe und radiologische Untersuchungen wurden abgesagt und Patienteninformationen mussten händisch erfasst und kontrolliert werden. Die Erpresser drohten dabei sogar, sensible Patientenakten auf der Hive-Leaks-Seite zu veröffentlichen.

Deutschlandweit wurde die Ransomware Hive durch Cyberangriffe gegen Media Mark und Saturn im November 2021 bekannt. Mithilfe von Hive verschlüsselten Kriminelle über 3.100 Server der Elektronikhandelskette Ceconomy-Holding und forderten für die Entschlüsselung 240 Millionen US-Dollar Lösegeld. Die Kriminellen schalteten sämtliche IT-Systeme ab und unterbrachen damit den Geschäftsbetrieb in den Niederlanden und Deutschland. Nach angeblichen Verhandlungen verlangten die Angreifer noch 50 Millionen US-Dollar als Bitcoins. Ob das Lösegeld schlussendlich gezahlt wurde, ist bis heute unbekannt. Sensible Daten von Media Markt und Saturn wurden allerdings nicht, wie von den Erpressern angedroht, auf der Leaks-Seite veröffentlicht.

Saturn und Media Markt

Zu den bekanntesten Opfern der Ransomware Hive gehören in Deutschland Saturn und Media Markt. Die Erpresser komprimierten tausende Server der Handelskette. Bild: Unsplash/@rickjack

Hauptschlüssel von Hive geknackt

Mitte Februar 2022 gaben IT-Sicherheitsforscher der Kookmin Universität in Südkorea bekannt, dass sie den Verschlüsselungsmechanismus der Hive-Ransomware geknackt haben. In diversen Testversuchen konnten Sie den Hauptschlüssel (Master-Key) der Ransomware wiederherstellen – ohne dass ihnen private Schlüssel bekannt waren. Möglich war das aufgrund einer Schwachstelle im Verschlüsselungsalgorithmus, durch die ein einfaches Erraten des Hauptschlüssels (Brute-Force) möglich war.

Die Forscher der Kookmin Universität gehen davon aus, dass sich mithilfe der von ihnen entdeckten Methodik circa 92 bis 98 Prozent aller durch Hive verschlüsselten Daten zu retten sind. Mittlerweile haben Sicherheitsexperten schon eine Vielzahl an Unternehmen befreit, die Opfer des berüchtigten Erpressertrojaners Hive waren. Leider landen die Dateien entsprechender Unternehmen dann häufig auf der entsprechenden Leaks-Seite.

Bleibt die Ransomware Hive gefährlich?

Natürlich bleibt zu hoffen, dass auch neue Opfer der Hive-Ransomware ihre Daten erfolgreich retten können. Doch dafür, dass die Methodik, mithilfe des Hauptschlüssels Hive außer Kraft zu setzen, auch in Zukunft wirksam bleibt, gibt es leider keine Garantie. Es ist gar nicht unwahrscheinlich, dass die Hive-Gruppe schon bald ihr Programm aktualisiert und neu zuschlägt. Immerhin handelte es sich bei der Hive-Ransomware um eine lukrative Einnahmequelle für die leider ziemlich erfolgreiche Hive-Gang.

Die IT-Verantwortlichen von Unternehmen aller Größen und Branchen sollten sich also nicht auf eine nachträgliche Entschlüsselungsmöglichkeit von Hive verlassen, sondern proaktiv vorsorgen, dass Ransomware wie Hive gar nicht erst Dateien verschlüsseln kann.

Sicherheitsexperten der Kookmin Universität in Seoul haben den Hauptschlüssel von Hive entschlüsselt. Bild: Unsplash/@cadop

Schutz vor Ransomware Hive

Um sich vor Ransomware Hive und anderen Erpressertrojanern zu schützen, sollten Sie das Thema IT-Sicherheit nicht vernachlässigen – egal, wie klein Ihr Unternehmen ist oder wie analog es arbeitet. Zu den wichtigsten Aspekten des Schutzes vor Ransomware gehören:

  • die Backup-Strategie – weil ihnen Verschlüsselungen oder Löschungen nichts anhaben können, wenn Sie ihre Daten nach der 3-2-1-Regel absichern. Optimalerweise sollte nach entsprechender Regel zu jedem Zeitpunkt drei Datenkopien in zwei unterschiedlichen Speichermedien abgesichert sein.
  • die Implementierung eines Anti-Ransomware-Systems mit Angriffsfrüherkennung – weil Cyberangriffe bereits im Frühstadium erkannt und unterbunden werden, wenn Ihr Antivirenschutz mit einem Anti-Ransomware-System mit Früherkennung ausgestattet ist. Auf diese Weise können Kriminelle die Ransomware gar nicht erst aktivieren.

Für viele kleine Unternehmen und Selbstständige ist der Datendiebstahl oder -verlust das Worst-Case-Szenario. Wenn Kriminelle Ihre wichtigen und zum Teil hochsensiblen Kundendaten, Arbeitsdokumente oder Projekte löschen oder veröffentlichen, können Sie nicht mehr viel machen. Wenden Sie sich deswegen vorsorglich an PC-SPEZIALIST in Ihrer Nähe. Mit dem IT-Basisschutz, den es in verschiedenem Umfang gibt, können Sie Ihrer täglichen Arbeit ganz unbesorgt nachgehen. Wir beseitigen mithilfe eines kontinuierlichen Patch-Managements alle bekannten Sicherheitslücken und versuchen mithilfe eines professionellen Antivirenprogramms alle Angriffe abzublocken.

Was tun bei Befall durch Ransomware Hive?

Kommen die Hinweise für Sie leider schon zu spät? Sind Sie bereits Opfer der Ransomware Hive geworden und wissen nicht, was Sie jetzt tun sollen? Trennen Sie möglichst sofort alle Systeme und Datenspeicher vom lokalen Firmennetzwerk und vom Internet. Deaktivieren Sie dabei auch das WLAN und Bluetooth an allen Geräten. Erfüllen Sie auf keinen Fall die Lösegeldforderung. Leider kann nämlich nicht gewährleistet werden, dass die Kriminellen Ihre Daten nach einer Zahlung auch wirklich wieder entschlüsseln.

Kontaktieren Sie lieber PC-SPEZIALIST in Ihrer Nähe und schildern Ihre Situation möglichst präzise. Als Experten auf dem Gebiet Ransomware sind wir Ihr Ansprechpartner und können uns der Sache kompetent annehmen. Wir handeln nach Möglichkeit unverzüglich und beseitigen die Ransomware Hive so schnell wie irgendwie möglich. Natürlich sind wir von PC-SPEZIALIST auch der passende Ansprechpartner für private Endkunden. Sollten Sie Opfer von Ransomware Hive oder anderen Erpressertrojanern geworden sein, sprechen Sie uns an!

_______________________________________________

Verwendete Quellen: IT-Markt, heise online, t3n, Trend Micro, Trend Micro, Bleeping Computer, Allgeier secion

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.