Deutsche Ermittler legen Spur zu russischen Ransomware-Erpressern frei
Die Generalstaatsanwaltschaft Karlsruhe und das Landeskriminalamt Baden-Württemberg haben einen bedeutenden Erfolg im Kampf gegen internationale Cyberkriminalität erzielt. Nach monatelangen Ermittlungen konnten zwei mutmaßliche Schlüsselfiguren der berüchtigten Ransomware-Gruppen GandCrab und REvil identifiziert werden.
Zwei Russen auf Europols Fahndungsliste
Bei den Verdächtigen handelt es sich um Daniil Maksimovich Shchukin und Anatoly Sergeevitsch Kravchu, die nun auf die internationale Fahndungsliste von Europol gesetzt wurden. Die Ermittler gehen davon aus, dass die beiden Männer als Kopf der kriminellen Vereinigung beziehungsweise als Hauptprogrammierer agiert haben.
"Diese Entwicklung zeigt, dass wir auch gegen international organisierte Cyberkriminalität erfolgreich ermitteln können", betonen die beteiligten Behörden. Die Identifizierung gelang durch die akribische Auswertung von Datensätzen, insbesondere von Transaktionen mit Kryptowährungen, sowie durch intensive Zusammenarbeit mit Sicherheitsbehörden in Europa und Nordamerika.
Milliardenschäden durch systematische Erpressung
Die Cyberkriminellen nutzten ein ausgeklügeltes Geschäftsmodell nach dem Affiliate-Prinzip:
- Die Hintermänner stellten die Ransomware-Software und die technische Infrastruktur bereit
- Kooperationspartner führten die eigentlichen Angriffe durch
- Die erpressten Gelder wurden im Erfolgsfall aufgeteilt
Allein in Deutschland sind Angriffe auf 130 Unternehmen und Einrichtungen dokumentiert, darunter:
- Mehrere Hersteller von Medizinprodukten
- Das Württembergische Staatstheater in Stuttgart
- Verschiedene mittelständische Betriebe
Der finanzielle Schaden beläuft sich nach Behördenangaben auf rund 35 Millionen Euro in Deutschland. In 25 Fällen zahlten die Opfer tatsächlich Lösegeld – insgesamt etwa 1,8 Millionen Euro. Global wird der von REvil verursachte Schaden auf mehrere Hundert Millionen Euro geschätzt.
Spektakulärer Angriff mit internationalen Folgen
Eines der folgenschwersten Verbrechen der Gruppe war der Ransomware-Angriff auf die US-Softwarefirma Kaseya im Jahr 2021. Diese Attacke hatte Auswirkungen auf zahlreiche Unternehmen in mindestens 17 Ländern und demonstrierte die globale Reichweite der Cyberkriminellen.
Die Ermittler weisen darauf hin, dass Ransomware-Banden inzwischen zu einer doppelten Erpressung übergegangen sind: Neben der Verschlüsselung der Daten drohen sie nun mit der Veröffentlichung gestohlener Informationen. Jüngstes Opfer dieser Taktik war die Bundeszentrale der Partei Die Linke.
Erste Verurteilungen und anhaltende Fahndung
Bereits zuvor konnten einige Beteiligte zur Verantwortung gezogen werden:
- 2024 wurde ein ukrainisches Bandenmitglied in den USA zu 13 Jahren und sieben Monaten Haft verurteilt
- Ende Januar 2026 verurteilte das Landgericht Stuttgart einen 46-jährigen Ukrainer zu sieben Jahren Gefängnis
Die Gruppe REvil war im Sommer 2021 plötzlich von der Bildfläche verschwunden – aus bis heute ungeklärten Gründen. Die jetzt identifizierten mutmaßlichen Hintermänner bleiben jedoch weiterhin flüchtig. Die internationale Fahndung läuft auf Hochtouren, wobei die Ermittler auf weitere Hinweise aus der Bevölkerung hoffen.
Dieser Fall unterstreicht die wachsende Bedrohung durch organisierte Cyberkriminalität und die Bedeutung internationaler Zusammenarbeit bei der Strafverfolgung. Die deutschen Behörden betonen, dass sie ihre Anstrengungen im Kampf gegen digitale Erpressung weiter intensivieren werden.
