billede-1-121

Myndigheder slukker og lukker for Ransomware Bande og leverer dekryptering

HIVE-infrastruktur er nu lukket ned af et samarbejde mellem myndighederne.

Europol støttede tyske, hollandske og amerikanske myndigheder med at lukke serverne og levere dekrypteringsværktøjer til ofrene. Ofrenes kontaktdetaljer blev fundet på serveren, da disse har været udfor Ransomware afpresning. De var naturligvis lettede over hjælpen fra myndighederne.

Konkret støttede Europol de tyske, hollandske og amerikanske myndigheder i at fjerne infrastrukturen der var beregnet til at styre den produktive HIVE ransomware. Denne internationale operation involverede myndigheder fra i alt 13 lande. Specielle politihackere identificerede dekrypteringsnøglerne og delte dem med mange af ofrene og hjalp dem med at genvinde adgangen til deres data uden at betale de cyberkriminelles afpresningsbreve.

Her er en video fra pressemødet i USA’s justitsministerium:

Hive banden har i hvert fald 1.500 ofre på samvittigheden

I det sidste år er HIVE ransomware blevet identificeret som en stor trussel, da den er blevet brugt til at kompromittere og kryptere data og computersystemer fra store it- og oliemultinationale selskaber i EU og USA.

Siden juni 2021 er over 1.500 virksomheder fra over 80 lande verden over blevet ofre for hive-medarbejdere og har mistet næsten 100 mio. EUR i løsepenge.

Tilknyttede virksomheder som affiliates udførte cyberangrebene, men HIVE ransomware blev oprettet, vedligeholdt og opdateret af HIVE udviklerne. Tilknyttede virksomheder brugte den dobbelte afpresningsmodel af ‘ransomware-as-a-service’; Først kopierede de data og krypterede derefter filerne. Derefter bad de om en løsesum for både at dekryptere filerne og ikke offentliggøre de stjålne data på Hive’s Leak Site. Når ofrene betalte, blev løsesummen derefter delt mellem tilknyttede virksomheder (Affiliates som modtog 80 %) og HIVE udviklere (som modtog 20 %).

Andre farlige ransomware-grupper har også brugt denne såkaldte ransomware-as-a-service (RaaS) model til at begå angreb på højt niveau i de sidste par år. De har afpresset sine ofre for millioner af euro i løsepenge for at dekryptere berørte systemer, ofte i virksomheder, der vedligeholder kritisk infrastruktur.

Siden juni 2021 har kriminelle brugt HIVE ransomware til at målrette mod en bred vifte af virksomheder og kritiske infrastruktursektorer, herunder offentlige faciliteter, telekommunikationsselskaber, fremstilling, informationsteknologi og sundhedspleje og folkesundhed.

I et større angreb målrettede HIVE-tilknyttede virksomheder et hospital, hvilket førte til alvorlige konsekvenser for, hvordan hospitalet kunne håndtere COVID-19-pandemien. På grund af angrebet måtte dette hospital ty til analoge metoder til behandling af eksisterende patienter og kunne ikke acceptere nye. Det vil sige papir og blyant.

Alle angreb er sket på forskellige måder. Nogle HIVE-aktører fik adgang til offerets netværk ved hjælp af enkeltfaktor-logins via Remote Desktop Protocol, virtuelle private netværk og andre eksterne netværksforbindelsesprotokoller. I andre tilfælde omgik HIVE-aktører multifaktorautentificering og fik adgang ved at udnytte sårbarheder.

Dette gjorde det muligt for ondsindede cyberkriminelle at logge ind uden en prompt om brugerens anden godkendelsesfaktor ved at ændre tilfældet med brugernavnet. Nogle HIVE-aktører fik også indledende adgang til offerets netværk ved at distribuere phishing-e-mails med ondsindede vedhæftede filer og ved at udnytte sårbarhederne i operativsystemerne på de angrebne enheder. 

Ca. 120 mio. EUR sparet takket være politi indsatsen og dekryptering forhindrede betaling af 889 millioner danske kroner.

Europol strømlinede indsatsen for at afbøde ofre sammen med andre EU-lande, hvilket forhindrede private virksomheder i at blive ofre for hive-ransomware. Retshåndhævelse leverede dekrypteringsnøglen til virksomheder, der var blevet kompromitteret for at hjælpe dem med at dekryptere deres data uden at betale løsesummen. Denne indsats har forhindret betaling af mere end 130 millioner amerikanske dollars eller hvad der svarer til ca. 120 millioner euro i løsepenge.

Europol lettede informationsudvekslingen, støttede koordineringen af operationen og finansierede operationelle møder i Portugal og Nederlandene. Europol ydede også analytisk støtte til at forbinde tilgængelige data med forskellige straffesager i og uden for EU og støttede efterforskningen gennem kryptovaluta, malware, dekryptering og retsmedicinsk analyse.

På aktionsdagene indsatte Europol fire eksperter for at hjælpe med at koordinere aktiviteterne på stedet.

Europol støttede de involverede retshåndhævende myndigheder ved at koordinere kryptovaluta- og malwareanalysen, krydstjekke operationelle oplysninger mod Europols databaser og yderligere operationel analyse og retsmedicinsk støtte. Analyse af disse data og andre relaterede sager forventes at udløse yderligere efterforskningsaktiviteter. Den fælles taskforce for bekæmpelse af it-kriminalitet (J-CAT) i Europol støttede også operationen. Dette stående operationelle team består af forbindelsesofficerer til cyberkriminalitet fra forskellige lande, der arbejder med højt profilerede efterforskninger af it-kriminalitet.

Her er de involverede retshåndhævende myndigheder

  • Canada – Royal Canadian Mounted Police (RCMP) & Peel Regional Police Frankrig: National Police (Police Nationale)
  • Tyskland: Federal Criminal Police Office (Bundeskriminalamt) og Police Headquarters Reutlingen – CID Esslingen (Polizei BW)
  • Irland: National Police (An Garda Síochána)
  • Litauen: Criminal Police Bureau (Kriminalinės Policijos Biuras)
  • Holland – National Police (Politie)
  • Norge: Rigspolitiet (Politiet)
  • Portugal: Retspolitiet (Polícia Judiciária)
  • Rumænien: Rumænsk politi (Poliția Română – DCCO)
  • Spanien: Spansk politi (Policía Nacional)
  • Sverige: Svensk politi (Polisen)
  • England – National Crime Agency
  • USA – United States Secret Service, Federal Bureau of Investigations
  • Europol har hovedkvarter i Haag, Holland, og støtter de 27 EU-medlemsstater i deres kamp mod terrorisme, cyberkriminalitet og andre former for grov og organiseret kriminalitet. Europol samarbejder også med mange partnerlande og internationale organisationer uden for EU. Fra sine forskellige trusselsvurderinger til sine efterretningsindsamlingsaktiviteter og operationelle aktiviteter har Europol de værktøjer og ressourcer, det har brug for til at gøre sit til at gøre Europa mere sikkert.

Empact

Den europæiske tværfaglige platform mod kriminelle trusler (EMPACT) tackler de vigtigste trusler fra organiseret og grov international kriminalitet, der påvirker EU. EMPACT styrker efterretningsmæssigt, strategisk og operationelt samarbejde mellem nationale myndigheder, EU-institutioner og -organer og internationale partnere. EMPACT kører i fireårige cyklusser med fokus på EU’s fælles kriminalitetsprioriteter.

Hvem er EMPACT?

EMPACT står for European Multidisciplinary Platform Against Criminal Threats. Den indfører en integreret tilgang til EU’s indre sikkerhed, der omfatter foranstaltninger, der spænder fra kontrol ved de ydre grænser, politi-, told- og retligt samarbejde til informationsstyring, innovation, uddannelse, forebyggelse og den eksterne dimension af den indre sikkerhed samt offentlig-private partnerskaber, hvor det er relevant.

Den oprindelige, reducerede EU-politikcyklus for organiseret og grov international kriminalitet/EMPACT blev gennemført mellem 2012 og 2013. Dette blev efterfulgt af to fuldt udbyggede EU-politikcyklusser mellem 2014-2017 og 2018-2021. Gennem disse forskellige faser har EMPACT udviklet sig til et EU-flagskibsinstrument for tværfagligt og multiorganisatorisk operationelt samarbejde om bekæmpelse af organiseret kriminalitet på EU-plan. Det opfordrer til en håndfast indsats for at imødegå de mest presserende kriminelle trusler, som EU står over for.

EMPACT har en klar metode til fastsættelse, gennemførelse og evaluering af prioriteter i bekæmpelsen af organiseret og grov international kriminalitet. Den har til formål at tackle de vigtigste trusler mod Den Europæiske Union på en sammenhængende, metodologisk måde ved at forbedre og styrke samarbejdet mellem de relevante tjenester i medlemsstaterne, EU-institutionerne og EU-agenturerne samt tredjepartslande og -organisationer, herunder den private sektor, hvor det er relevant.

I 2021 traf Rådet for Den Europæiske Union afgørelse om følgende:

  • Permanent fortsættelse af EU’s politikcyklus for organiseret og grov international kriminalitet: EMPACT 2022+ (8. marts 2021) – dette indførte også navneændringen til “EMPACT”, mens den fireårige hyppighed af dens skridt forblev uændret.
  • EU’s prioriteter for bekæmpelse af grov og organiseret kriminalitet for EMPACT 2022-2025 (26. maj 2021).

Hvad skal EMPACT lave fra år 2022-2025?

PrioritetMål(er)
 Kriminelle netværk med høj risikoat identificere og optrevle kriminelle højrisikonetværk, der er aktive i EU, såsom mafialignende organisationer, etniske organisationer og familiebaserede organisationer og andre strukturerede netværk, og personer med kritiske roller i disse netværk med særlig vægt på de kriminelle netværk, der underminerer retsstatsprincippet ved at anvende korruption, dem, der begår voldshandlinger, herunder intimidering, og bruger skydevåben til at fremme deres kriminelle mål  og dem, der hvidvasker deres kriminelle udbytte gennem et parallelt underjordisk finansielt system.
CyberangrebAt ramme de kriminelle, der orkestrerer cyberangreb, navnlig dem, der tilbyder specialiserede kriminelle tjenester online.
Menneskehandelat optrevle kriminelle netværk, der er involveret i menneskehandel med henblik på alle former for udnyttelse, herunder arbejdsmæssig og seksuel udnyttelse, og med særligt fokus på dem, der udnytter mindreårige til tvungen kriminalitet; dem, der bruger eller truer med vold mod ofre og deres familier eller vildleder ofrene ved at simulere udnyttelsen for at gøre det officielt; dem, der rekrutterer og annoncerer ofre online og serviceres af mæglere, der leverer digitale tjenester.
Seksuel udnyttelse af børnAt bekæmpe misbrug af børn online og offline, herunder produktion og udbredelse af materiale, der viser misbrug af børn, samt seksuel udnyttelse af børn online.
Smugling af migranterAt bekæmpe kriminelle netværk, der er involveret i smugling af migranter, navnlig dem, der yder hjælp til irregulære migranter langs de vigtigste migrationsruter, der krydser EU’s ydre grænser, og dem, der er involveret i fremme af sekundære bevægelser og legalisering af opholdsstatus inden for EU, navnlig med fokus på dem, hvis metoder bringer menneskers liv i fare.
NarkotikahandelProduktion, handel med og distribution af cannabis, kokain og heroin – At identificere og målrette kriminelle netværk, der er involveret i engroshandel med cannabis, kokain og heroin til EU At bekæmpe de kriminelle netværk, der er involveret i dyrkning, produktion, forarbejdning og distribution af cannabis, kokain og heroin i EU. Produktion, handel med og distribution af syntetiske stoffer og nye psykoaktive stoffer – At identificere og målrette indsatsen mod de kriminelle netværk, der er involveret i produktion og global levering af syntetiske stoffer og NPS i EU.
Svig, økonomisk og finansiel kriminalitet:Onlinesvindelordninger – At målrette indsatsen mod individuelle kriminelle og kriminelle netværk, der organiserer omfattende svindelordninger online, samt svig og forfalskning i forbindelse med andre betalingsmidler end kontanter, der har til formål at bedrage privatpersoner (herunder sårbare personer såsom ældre), virksomheder og organisationer i den offentlige sektor, navnlig dem, der genererer indtægter på flere millioner euro hvert år og bruger onlineplatforme til at øge rækkevidden af deres svindel for at ramme et stort antal ofre. Punktafgiftssvig – At ramme kriminelle netværk og individuelle kriminelle, der er involveret i omfattende afgiftssvig med særligt fokus på produktion af og/eller handel med ulovlige tobaksvarer i EU. Momssvig – At forstyrre kapaciteten hos kriminelle netværk og individuelle kriminelle iværksættere, der er involveret i svig inden for manglende handel inden for Fællesskabet (MTIC). Kriminalitet i forbindelse med intellektuel ejendomsret, forfalskning af varer og valutaer – At bekæmpe og optrevle kriminelle netværk og kriminelle individuelle iværksættere, der er involveret i IP-kriminalitet og i produktion, salg eller distribution (fysisk og online) af varemærkeforfalskede varer eller valutaer, med særligt fokus på varer, der er skadelige for forbrugernes sundhed og sikkerhed, for miljøet og for EU’s økonomi. Kriminel økonomi, hvidvaskning af penge og inddrivelse af aktiver – at bekæmpe og forstyrre kriminelle netværk og kriminelle personer, der er involveret i kriminelle finanser og hvidvaskning af penge, og lette inddrivelse af aktiver med henblik på effektivt at konfiskere den kriminelle fortjeneste, navnlig ved at støtte den automatiske iværksættelse af finansielle undersøgelser og udvikle en kultur for inddrivelse af aktiver gennem uddannelse og deling af finansielle efterretninger  ved at gå målrettet efter syndikater til hvidvaskning af penge, der tilbyder hvidvaskning af penge (herunder pengemuldyr og handelsbaseret hvidvaskning af penge), og de kriminelle netværk, der i vid udstrækning gør brug af nye betalingsmetoder til at hvidvaske udbytte fra kriminelle forhold eller hvidvaske deres udbytte fra kriminelle forhold gennem et lovligt eller parallelt finansielt undergrundssystem.
 Organiseret ejendomskriminalitetAt optrevle kriminelle netværk, der er involveret i organiserede indbrud og tyverier, organiserede røverier, kriminalitet i motorkøretøjer og ulovlig handel med kulturgoder, med særligt fokus på dem, der er meget mobile og opererer i hele EU.
 MiljøkriminalitetAt optrevle kriminelle netværk, der er involveret i alle former for miljøkriminalitet, med særligt fokus på affald og ulovlig handel med vilde dyr og planter samt på kriminelle netværk og individuelle kriminelle iværksættere med mulighed for at infiltrere lovlige forretningsstrukturer på højt plan eller oprette egne virksomheder for at lette deres forbrydelser.
Ulovlig handel med skydevåbenAt ramme kriminelle netværk og individuelle kriminelle, der er involveret i ulovlig handel, distribution og brug af skydevåben.

EMPACT trin

Kilde: Europol, Empact og Michael Rasmussen
Fotokredit: Europol