In einer koordinierten internationalen Aktion haben das FBI, die britische National Crime Agency (NCA) und deutsche Strafverfolgungsbehörden einen bedeutenden Schlag gegen die Dispossessor Ransomware-Gruppe geführt. Die Operation resultierte in der Beschlagnahmung zahlreicher Server und Domains, die von den Cyberkriminellen genutzt wurden.
Umfang der Beschlagnahmungen
Die Behörden haben insgesamt 24 Server und 9 Domains sichergestellt, die von der Dispossessor-Gruppe für ihre kriminellen Aktivitäten verwendet wurden. Darunter befanden sich:
- 3 Server in den USA
- 3 Server in Großbritannien
- 18 Server in Deutschland
- 8 US-amerikanische Domains
- 1 deutsche Domain
Zu den beschlagnahmten Domains gehörten unter anderem radar[.]tld, dispossessor[.]com und cybershare[.]app. Besonders bemerkenswert ist, dass auch Plattformen wie cybernewsint[.]com für gefälschte Nachrichten und cybertube[.]video für manipulierte Videos sichergestellt wurden.
Modus Operandi der Dispossessor-Gruppe
Die Dispossessor Ransomware-Gruppe, angeführt von einem Hacker mit dem Pseudonym „Brain“, war seit August 2023 aktiv. Ihre Hauptziele waren kleine und mittelständische Unternehmen verschiedener Branchen. Die Ermittler identifizierten mindestens 43 Opfer in 14 Ländern, darunter die USA, Deutschland und Großbritannien.
Angriffsvektoren und Taktiken
Die Cyberkriminellen nutzten verschiedene Schwachstellen aus, um in die Netzwerke ihrer Opfer einzudringen:
- Ausnutzung von Sicherheitslücken
- Schwache Passwörter
- Fehlende Zwei-Faktor-Authentifizierung
Nach der erfolgreichen Infiltration stahlen die Angreifer sensible Daten und verschlüsselten anschließend die Systeme der Opfer. Eine besonders aggressive Taktik bestand darin, dass die Hacker proaktiv Kontakt zu den Opfern aufnahmen, wenn diese nicht auf die Erpressungsversuche reagierten. Dabei wurden E-Mails mit Links zu Videoplattformen verschickt, auf denen die gestohlenen Daten präsentiert wurden.
Evolution der Dispossessor-Gruppe
Interessanterweise begann die Gruppe ihre kriminelle Laufbahn mit dem Reposting von Daten, die bei früheren Angriffen der LockBit-Ransomware erbeutet wurden. Laut Analysten von SentinelOne behauptete Dispossessor anfänglich, über Daten von etwa 330 LockBit-Opfern zu verfügen. Diese Taktik wurde auch auf Daten anderer Ransomware-Gruppen wie Cl0p und Hunters International ausgeweitet.
Ab Juni 2024 änderte sich die Strategie der Gruppe grundlegend. Sie begannen, geleakte Quellcodes der LockBit 3.0 Ransomware für eigene Angriffe zu nutzen, was zu einer signifikanten Ausweitung ihrer Operationen führte. In einem nicht verifizierbaren Interview behaupteten mutmaßliche Gruppenmitglieder, dass Dispossessor aus ehemaligen LockBit-Partnern bestehe und künstliche Intelligenz für die schnelle Analyse gestohlener Daten einsetze.
Die erfolgreiche Operation gegen Dispossessor unterstreicht die Bedeutung internationaler Zusammenarbeit im Kampf gegen Cyberkriminalität. Unternehmen sollten diese Entwicklung als Warnung verstehen und ihre Cybersicherheitsmaßnahmen dringend überprüfen und verstärken. Insbesondere die Implementierung starker Authentifizierungsmethoden und regelmäßige Sicherheitsupdates sind entscheidend, um sich vor solchen Bedrohungen zu schützen.