Behörden aus 17 Ländern haben eine monatelange Ermittlung gegen eine der derzeit aktivsten Cybererpressergruppen offengelegt. Europol, das amerikanische FBI und die rumänische Polizei berichteten über insgesamt sieben Festnahmen weltweit von Mitgliedern der Ransomwaregruppe REvil, beziehungsweise der Gruppe GandCrab, die als Vorgänger von REvil gilt. Außerdem seien von Opfern erpresste Kryptowährungen in Höhe von 6,1 Million Dollar beschlagnahmt worden, sagte US-Justizminister Merrick Garland. An der Operation namens GoldDust waren auch französische und deutsche Ermittlerinnen und Ermittler des Landeskriminalamtes Baden-Württemberg beteiligt.
REvil wird für Angriffe auf Firmen, Organisationen, Gesundheitseinrichtungen und Stadtverwaltungen weltweit verantwortlich gemacht. Die Täter dringen in fremde Computersysteme ein, kopieren die dort liegenden Daten und verschlüsseln die Rechner anschließend, sodass die Opfer sie nicht mehr nutzen können. Danach bieten sie für hohe Lösegeldsummen den Schlüssel dazu an und drohen, die Daten zu veröffentlichen, wenn ihre Forderungen nicht erfüllt werden.
Die Gruppe REvil, die auch unter dem Namen Sodinokibi bekannt ist, ist nach Ansicht von IT-Sicherheitsexperten aus GandCrab hervorgegangen. Sie hat aus dieser Form der Angriffe ein Franchisemodell gemacht und vermietet den dazu eingesetzten Schadcode an Kriminelle, die damit Opfer erpressen und das Lösegeld mit den Entwicklern teilen.
Zwei dieser Affiliates genannten Mittäter wurden am 4. November in Rumänien festgenommen, wie Europol und rumänische Behörden am Montag mitteilten. Sie sollen Lösegeld in Höhe von 500.000 Euro erpresst haben.
Mutmaßlicher Kaseya-Hacker
Außerdem war demnach aufgrund eines internationalen Haftbefehls aus den USA bereits Anfang Oktober ein weiterer REvil-Partner an der Grenze zwischen der Ukraine und Polen festgenommen worden. Der Ukrainer namens Yaroslav Vasinskyi, der im Netz unter dem Namen Rabotnik agierte, ist nach Aussage des FBI für den Angriff auf das Unternehmen Kaseya verantwortlich und damit für den bislang größten Hack mit REvil.
Kaseya ist ein internationaler IT-Dienstleister, der eine Fernwartungssoftware anbietet. Einerseits wurde das Unternehmen selbst erpresst, die Täter forderten 70 Millionen Dollar Lösegeld für die Entschlüsselung der gekaperten Systeme. Andererseits aber wurden anschließend auch ungefähr 1.500 Kunden von Kaseya angegriffen – denn die Täter bekamen über Kaseya Zugang zu den Systemen derjenigen Unternehmen, die den Fernwartungservice des Dienstleisters nutzten.
Zusätzlich zu diesen drei Verdächtigen wurden bereits im Februar, im April und im Oktober in Südkorea drei weitere Verdächtige festgenommen, die ebenfalls sogenannte Affiliates von GandCrab sein sollen. Ein siebter Mittäter wurde Anfang November in Kuwait festgenommen. Sie alle zusammen sollen nach Aussage von Europol mehr als 7.000 Opfer weltweit angegriffen und erpresst haben.
10 Millionen Dollar Kopfgeld für die Hintermänner
Solche Angriffe seien eine ernste Bedrohung für die USA, sagte Justizminister Garland. Schon vor einiger Zeit hatte die US-Regierung dem Kampf gegen Ransomware einen ähnlichen Status eingeräumt wie dem gegen Terrorismus. Das US-Justizministerium nutze jede mögliche Ressource, "um jeden zu finden, der die USA mit Ransomware angreift", sagte Garland.
Doch auch wenn die nun Festgenommenen für viele Angriffe verantwortlich sind und der Kaseya-Hack aufgeklärt scheint, die Hintermänner von REvil sind damit noch immer nicht gefunden. Trotz aller Anstrengungen gelingt so etwas sehr selten, da sie sich meistens in Ländern wie Russland aufhalten, die keine Bürger ausliefern und selbst kaum gegen die Täter vorgehen. (Hier ein Report zu einem der mutmaßlichen Vertreiber der Ransomware) Das US-Außenministerium will daher einem Bericht der Washington Post zufolge ein Kopfgeld von zehn Millionen Dollar für Hinweise auf die Hintermänner ausloben.
Behörden aus 17 Ländern haben eine monatelange Ermittlung gegen eine der derzeit aktivsten Cybererpressergruppen offengelegt. Europol, das amerikanische FBI und die rumänische Polizei berichteten über insgesamt sieben Festnahmen weltweit von Mitgliedern der Ransomwaregruppe REvil, beziehungsweise der Gruppe GandCrab, die als Vorgänger von REvil gilt. Außerdem seien von Opfern erpresste Kryptowährungen in Höhe von 6,1 Million Dollar beschlagnahmt worden, sagte US-Justizminister Merrick Garland. An der Operation namens GoldDust waren auch französische und deutsche Ermittlerinnen und Ermittler des Landeskriminalamtes Baden-Württemberg beteiligt.