Deutsche Behörden identifizieren mutmaßliche Köpfe von Ransomware-Banden
Die deutschen Strafverfolgungsbehörden haben einen bedeutenden Erfolg im Kampf gegen internationale Cyberkriminalität erzielt. Die Generalstaatsanwaltschaft Karlsruhe und das Landeskriminalamt Baden-Württemberg haben zwei russische Staatsbürger als mutmaßliche Schlüsselfiguren der berüchtigten Ransomware-Gruppen GandCrab und REvil identifiziert. Bei den Verdächtigen handelt es sich um Daniil Maksimovich Shchukin und Anatoly Sergeevitsch Kravchu, die nun zur internationalen Fahndung über Europol ausgeschrieben wurden.
Systematische digitale Erpressung mit Millionenschäden
Die Cybercrime-Organisationen GandCrab und deren Nachfolgeorganisation REvil gehörten zwischen 2018 und 2021 zu den erfolgreichsten und gefährlichsten Ransomware-Banden weltweit. Ihr kriminelles Geschäftsmodell basierte auf dem sogenannten Affiliate-Prinzip: Die Hinterleute stellten die technische Infrastruktur und Erpressungssoftware bereit, während Kooperationspartner die eigentlichen Angriffe durchführten und die Beute anschließend aufteilten.
Die Banden verschafften sich unberechtigten Zugang zu internen Daten zahlreicher Unternehmen und Organisationen, verschlüsselten diese systematisch und erpressten anschließend hohe Lösegeldzahlungen für die Freigabe. Allein in Deutschland sind Angriffe auf 130 Unternehmen und Einrichtungen dokumentiert, darunter mehrere Medizinproduktehersteller und das Württembergische Staatstheater in Stuttgart.
Dreistellige Millionenschäden und spektakuläre Angriffe
Der finanzielle Schaden durch die Cyberattacken übersteigt die eigentliche Lösegeldbeute bei weitem. In Deutschland verursachten die Angriffe nach Angaben der Ermittler Kosten von etwa 35 Millionen Euro. In 25 dokumentierten Fällen wurde tatsächlich Lösegeld gezahlt – insgesamt rund 1,8 Millionen Euro.
Einer der folgenschwersten Angriffe der REvil-Gruppe richtete sich 2021 gegen die US-Softwarefirma Kaseya. Diese Attacke hatte Auswirkungen auf zahlreiche Unternehmen in mindestens 17 Ländern und demonstrierte die internationale Reichweite der kriminellen Aktivitäten. Weltweit wird der Gesamtschaden durch die Bandenaktivitäten auf mehrere Hundert Millionen Euro geschätzt.
Internationale Ermittlungen führen zur Identifizierung
Die Identifizierung der mutmaßlichen Bandenführer gelang deutschen Ermittlern durch intensive internationale Zusammenarbeit. Entscheidend waren die Auswertung umfangreicher Datensätze, insbesondere von Transaktionen mit Kryptowährungen, sowie die Kooperation mit Strafverfolgungsbehörden in Europa und Nordamerika.
Die beiden russischen Verdächtigen sollen als Kopf der Organisation beziehungsweise als verantwortlicher Programmierer agiert haben. Ihre Identifizierung markiert einen wichtigen Schritt bei der Bekämpfung organisierter Cyberkriminalität, auch wenn die Gruppe REvil seit Sommer 2021 nicht mehr aktiv ist.
Bereits Verurteilungen von Komplizen
Bereits zuvor konnten Ermittler mehrere Komplizen der Ransomware-Banden zur Verantwortung ziehen. 2024 verurteilte ein US-Gericht ein ukrainisches Bandenmitglied zu 13 Jahren und sieben Monaten Haft sowie zur Zahlung einer Millionensumme. Ende Januar dieses Jahres sprach das Landgericht Stuttgart einen 46-jährigen Ukrainer wegen Erpressung und Computersabotage schuldig und verhängte eine siebenjährige Haftstrafe.
Der verurteilte Mann, der als Affiliate für die Banden gearbeitet haben soll, war 2024 in Bratislava festgenommen und nach Deutschland ausgeliefert worden. Diese Verurteilungen zeigen, dass internationale Strafverfolgungsbehörden zunehmend erfolgreich gegen Ransomware-Netzwerke vorgehen können.
Entwicklung der Erpressungsmethoden
Die Ermittlungen offenbaren auch die ständige Weiterentwicklung der Erpressungsmethoden. Moderne Ransomware-Banden praktizieren inzwischen häufig eine doppelte Erpressung: Neben der Verschlüsselung von Daten drohen sie zusätzlich mit der Veröffentlichung gestohlener sensibler Informationen. Jüngstes Opfer dieser Taktik in Deutschland war die Bundeszentrale der Partei Die Linke.
Die erfolgreiche Identifizierung der mutmaßlichen Köpfe von GandCrab und REvil unterstreicht die wachsende Effektivität internationaler Ermittlungszusammenarbeit im Cyberbereich. Gleichzeitig zeigt der Fall, wie anhaltend relevant die Bekämpfung digitaler Erpressung für Unternehmen und Behörden bleibt.
