Europol verhaftet in der Ukraine Anführer einer Ransomware-Bande

Europol ist ein weiterer Schlag gegen die internationale Ransomware-Szene gelungen. Die Behörde konnte am 21. November 2023 in der Ukraine Schlüsselfiguren einer international aktiven Gruppe ausforschen und festnehmen, wie aus einer Mitteilung hervorgeht. Im Zuge der Kampagne wurden 30 Häuser in den Regionen Kiew, Tscherkassy, Riwne und Winnyzja durchsucht. Dabei habe man den 32-jährigen Anführer der Gruppe sowie vier seiner aktivsten Komplizen verhaftet, schreibt Europol. 

Behörden aus sieben Nationen beteiligt

Mehr als 20 Ermittler aus Norwegen, Frankreich, Deutschland und den Vereinigten Staaten seien nach Kiew entsandt worden, um die ukrainische Nationalpolizei bei ihren Ermittlungsmassnahmen zu unterstützen. Die Massnahmen seien vom Europol-Hauptquartier in den Niederlanden aus koordiniert worden. An der Aktion seien insgesamt Behörden aus sieben Nationen beteiligt gewesen - abgesehen von den genannten auch jene aus der Schweiz. Laut Europol wirkten das Bundesamt für Polizei (Fedpol), die Polizei Basel-Landschaft, die Staatsanwaltschaft des Kantons Zürich und die Kantonspolizei Zürich an der Kampagne mit.

Seit 2019 bestehe eine gemeinsame Ermittlungsgruppe zwischen Norwegen, Frankreich, dem Vereinigten Königreich und der Ukraine, die von der Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen Eurojust unterstützt wird. Die Gruppe arbeite seitdem parallel mit den Behörden aus Deutschland, den Niederlanden, den USA und der Schweiz zusammen. 2021 sei es bereits zu ersten Festnahmen im Zusammenhang mit den aktuellen Ermittlungen gekommen.

Die Operation fand zu einem kritischen Zeitpunkt statt, da die Ukraine nach wie vor mit dem russischen Angriffskrieg auf sein Territorium zu kämpfen hat. An der Cyberfront des Ukraine-Kriegs sind übrigens vor allem Cybersöldner im Einsatz. Warum der Einsatz solcher Gruppen auch nach dem Ende des Krieges für Probleme sorgen könnte, erfahren Sie hier.

Angriffe in 71 Ländern

Die Personen, gegen die ermittelt wird, sollen Teil eines Netzwerks sein, das für eine Reihe an Ransomware-Angriffen auf Organisationen in 71 Ländern steckt. Die Akteure seien dafür bekannt, gezielt grosse Unternehmen anzugreifen und damit deren Geschäfte zum Erliegen zu bringen. Sie würden unter anderem die Ransomware LockerGoga, MegaCortex, HIVE und Dharma einsetzen, um ihre Angriffe auszuführen.

Einige der Verdächtigen sollen an der Kompromittierung der IT-Netzwerke ihrer Ziele beteiligt gewesen sein, schreibt Europol weiter. Die Täter hätten dabei Techniken wie Brute-Force-Angriffe, SQL-Injektionen und Phishing-E-Mails verwendet, um Benutzernamen und Passwörter zu stehlen. Nach ihrem Eindringen seien sie unentdeckt geblieben und hätten sich mit Hilfe von Tools wie TrickBot-Malware, Cobalt Strike und PowerShell Empire zusätzlichen Zugang verschafft, um so viele Systeme wie möglich zu kompromittieren, bevor sie Ransomware-Angriffe auslösten.

Andere Beteiligte wiederum stünden im Verdacht, Geldwäsche mit Kryptowährungszahlungen zu betreiben, die sie als Lösegeld für die Entschlüsselung von Daten erhalten haben. Laut den Ermittlungen sollen die potenziellen Täter insgesamt über 250 Server grosser Unternehmen verschlüsselt und dabei einen Schaden von mehreren hundert Millionen Euro verursacht haben.

Übrigens: Auch über die Krypto-Börse Binance sollen Cyberkriminelle Ransomware-Gelder reingewaschen haben. Die Börse meldete dies und zahlreiche andere Vergehen wohl nicht den Behörden und sieht sich jetzt mit einer milliardenschweren Busse konfrontiert.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.