Ransomware-Bosse identifiziert:
Deutsches BKA veröffentlicht Namen
Verschlüsselte Netzwerke, gestohlene Daten, erpresste Millionen: Die Ransomware-Banden REvil und GandCrab verursachten weltweit immense Schäden. Nun jagen internationale Ermittler die beiden russischen Drahtzieher per europäischem Haftbefehl.
Wie das Bundeskriminalamt berichtet, werden den Beschuldigten allein in Deutschland 130 gewerbsmäßige Erpressungen vorgeworfen. In 25 Fällen zahlten die Opfer insgesamt knapp zwei Millionen Euro Lösegeld.
Die Täter nutzten ein sogenanntes Ransomware-as-a-Service-Modell. Verbündete Hacker drangen in IT-Netzwerke ein, stahlen Daten und verschlüsselten Systeme.
Für die Entschlüsselung und die Nichtveröffentlichung der Informationen forderten sie hohe Summen. Zu den Opfern zählten die Württembergischen Staatstheater Stuttgart sowie der Computerhersteller Acer. Beim Angriff auf den Dienstleister Kaseya wurden über eine Million Rechner infiziert.
GandCrab entstand Anfang 2018 und verbreitete sich schnell. Der damalige Anführer zog sich Mitte 2019 zurück und gab an, 150 Millionen Dollar (etwa 130 Millionen Euro) erbeutet zu haben. Aus ehemaligen Partnern formierte sich dann REvil. Die Gruppe verfeinerte die Methoden und führte Datenauktionen im Darknet ein.
In der Folge infiltrierten internationale Strafverfolgungsbehörden die Server und überwachten die Infrastruktur. Dabei sammelten sie Hinweise auf die Identitäten der Hintermänner. Nun hat das BKA sie zur Fahndung ausgeschrieben, inklusive:
Wie beurteilt ihr die Chancen, dass die Täter in Russland gefasst werden? Teilt eure Gedanken und Einschätzungen gerne mit uns in den Kommentaren!
Download DefenderUI - Microsoft Defender verbessern
Siehe auch:
Fahndung nach Ransomware-Chefs
Ermittler suchen nun weltweit nach Anatoly Sergeevitsch Kravchuk und Daniil Maksimovich Shchukin. Die beiden russischen Staatsangehörigen sollen zwischen 2019 und 2021 die Erpressersyndikate GandCrab und REvil geleitet haben.Wie das Bundeskriminalamt berichtet, werden den Beschuldigten allein in Deutschland 130 gewerbsmäßige Erpressungen vorgeworfen. In 25 Fällen zahlten die Opfer insgesamt knapp zwei Millionen Euro Lösegeld.
Millionenschäden in Deutschland
Durch Cyberangriffe auf Unternehmen, Behörden und öffentliche Einrichtungen entstanden hohe wirtschaftliche Schäden. Der wirtschaftliche Schaden beläuft sich schätzungsweise auf über 35 Millionen Euro. Shchukin trat in Untergrundforen jahrelang unter dem Pseudonym UNKN auf und fungierte als Sprachrohr der Gruppe. Der Aufenthaltsort der 43 und 31 Jahre alten Männer wird in Russland vermutet.Die Täter nutzten ein sogenanntes Ransomware-as-a-Service-Modell. Verbündete Hacker drangen in IT-Netzwerke ein, stahlen Daten und verschlüsselten Systeme.
Für die Entschlüsselung und die Nichtveröffentlichung der Informationen forderten sie hohe Summen. Zu den Opfern zählten die Württembergischen Staatstheater Stuttgart sowie der Computerhersteller Acer. Beim Angriff auf den Dienstleister Kaseya wurden über eine Million Rechner infiziert.
GandCrab und REvil: Aufstieg und Fall zweier Ransomware-Gruppen
-
2018
JanuarGandCrab taucht als "Ransomware-as-a-Service" auf und wird über ein Affiliate-Modell vertrieben
-
2018
2018GandCrab entwickelt sich zur weltweit am weitesten verbreiteten Ransomware
-
2018
AugustDer GandCrab-Entwickler kündigt eine neue Version mit Zero-Day-Exploit an - als Reaktion auf Gegenmaßnahmen von Sicherheitsforschern
-
2019
AprilErste Aktivitäten der Nachfolgegruppe REvil, auch Sodinokibi genannt, werden beobachtet
-
2019
1. MaiDie GandCrab-Betreiber verkünden in einem Untergrundforum das Ende der Operation - nach eigenen Angaben mit hohen Millionensummen Beute
-
2019
2019REvil startet erste größere Kampagnen, darunter Angriffe auf IT-Dienstleister und Kommunen in den USA
-
2021
1. JuliREvil greift den IT-Dienstleister Kaseya an; weltweit werden mehr als eine Million Systeme infiziert
-
2021
Anfang JuliREvil fordert 70 Millionen US-Dollar Lösegeld für einen universellen Entschlüsselungsschlüssel
Ausgeklügeltes System
REvil galt als professionell organisiert. Die Entwickler stellten den Partnern die Schadsoftware bereit und boten "Support" für die Opfer, um Zahlungen zu erleichtern. Beim Kaseya-Hack forderte die Bande eine Rekordsumme von 70 Millionen Dollar (etwa 61 Millionen Euro).In der Folge infiltrierten internationale Strafverfolgungsbehörden die Server und überwachten die Infrastruktur. Dabei sammelten sie Hinweise auf die Identitäten der Hintermänner. Nun hat das BKA sie zur Fahndung ausgeschrieben, inklusive:
- Erlass von nationalen und europäischen Haftbefehlen
- Aufnahme in die europäische Liste der meistgesuchten Personen
- Veröffentlichung von detaillierten Fotos zur Identifizierung
- Zur Fahndungsseite von KRAVCHUK, Anatoly Sergeevitsch
- Zur Fahndungsseite von SHCHUKIN, Daniil Maksimovich
Wie beurteilt ihr die Chancen, dass die Täter in Russland gefasst werden? Teilt eure Gedanken und Einschätzungen gerne mit uns in den Kommentaren!
Download DefenderUI - Microsoft Defender verbessern
Wer steckt hinter REvil & GandCrab?
Das BKA fahndet nach den russischen Staatsbürgern Anatoly Kravchuk und Daniil Shchukin. Sie sollen zwischen 2019 und 2021 als Kopf und Programmierer der Ransomware-Gruppen agiert haben. Shchukin trat angeblich unter dem Alias "UNKN" in Hacker-Foren als Sprecher auf.
Die Gruppe GandCrab startete 2018. Es heißt, dass sich der damalige Anführer 2019 mit einem angeblichen Gewinn von 150 Millionen US-Dollar zur Ruhe setzte. Kurz darauf formierte sich aus den verbliebenen Mitgliedern die noch aggressivere Gruppierung REvil.
Die Gruppe GandCrab startete 2018. Es heißt, dass sich der damalige Anführer 2019 mit einem angeblichen Gewinn von 150 Millionen US-Dollar zur Ruhe setzte. Kurz darauf formierte sich aus den verbliebenen Mitgliedern die noch aggressivere Gruppierung REvil.
Welche Schäden gab es in Deutschland?
Den beiden Hauptverdächtigen werden allein in Deutschland 130 banden- und gewerbsmäßige Erpressungen zur Last gelegt. Zu den prominentesten Opfern zählten 2019 die Württembergischen Staatstheater. Ein beteiligter Affiliate wurde dafür bereits zu sieben Jahren Haft verurteilt.
In 25 deutschen Fällen zahlten die betroffenen Unternehmen Lösegeld, was sich auf eine Summe von rund 1,9 Millionen Euro summierte. Der durch Betriebsausfälle und Wiederherstellung entstandene wirtschaftliche Gesamtschaden wird von den Behörden auf über 35,4 Millionen Euro beziffert.
In 25 deutschen Fällen zahlten die betroffenen Unternehmen Lösegeld, was sich auf eine Summe von rund 1,9 Millionen Euro summierte. Der durch Betriebsausfälle und Wiederherstellung entstandene wirtschaftliche Gesamtschaden wird von den Behörden auf über 35,4 Millionen Euro beziffert.
Wie lief der Kaseya-Hack 2021 ab?
Im Juli 2021 nutzte REvil eine Schwachstelle in der Management-Software Kaseya VSA aus. Über diesen zentralen Zugangspunkt wurde ein Verschlüsselungstrojaner an die Systeme unzähliger Kunden verteilt. Weltweit sollen über eine Million Rechner infiziert worden sein.
Die Angreifer forderten damals eine Rekordsumme von 70 Millionen US-Dollar in Bitcoin für einen universellen Entschlüsselungs-Key. Dieser Vorfall gilt als Paradebeispiel für einen Supply-Chain-Angriff, bei dem die Lieferkette der IT-Dienstleister als Waffe genutzt wird.
Die Angreifer forderten damals eine Rekordsumme von 70 Millionen US-Dollar in Bitcoin für einen universellen Entschlüsselungs-Key. Dieser Vorfall gilt als Paradebeispiel für einen Supply-Chain-Angriff, bei dem die Lieferkette der IT-Dienstleister als Waffe genutzt wird.
Wie kam die Polizei auf ihre Spur?
Die Identifizierung der Hintermänner war das Ergebnis jahrelanger, internationaler Zusammenarbeit. Ermittler des BKA und Partnerbehörden analysierten akribisch unzählige Datensätze. Besonders die Rückverfolgung von Kryptowährungstransaktionen lieferte entscheidende Hinweise.
Nach dem Kaseya-Hack 2021 legte REvil eine Pause ein. In dieser Zeit gelang es den Strafverfolgungsbehörden angeblich, die Server der Gruppierung zu infiltrieren und deren Operationen zu überwachen. Auch Fotos von Tätowierungen sollen bei der Identifizierung geholfen haben.
Nach dem Kaseya-Hack 2021 legte REvil eine Pause ein. In dieser Zeit gelang es den Strafverfolgungsbehörden angeblich, die Server der Gruppierung zu infiltrieren und deren Operationen zu überwachen. Auch Fotos von Tätowierungen sollen bei der Identifizierung geholfen haben.
Wo halten sich die Täter aktuell auf?
Aufgrund der bisherigen Ermittlungen gehen die Behörden davon aus, dass sich Kravchuk und Shchukin vermutlich in Russland aufhalten. Da ein Reiseverhalten jedoch nicht ausgeschlossen werden kann, wurden beide auf die "Most-Wanted-Liste" der Europäischen Union gesetzt.
Das LKA bittet die Öffentlichkeit um Mithilfe. Hinweise zum Aufenthaltsort können direkt per E-Mail an STUTTGART.LKA.HINWEISE@polizei.bwl.de gesendet werden. Ob die Gesuchten bei anderen Banden aktiv sind, ist derzeit unklar.
Das LKA bittet die Öffentlichkeit um Mithilfe. Hinweise zum Aufenthaltsort können direkt per E-Mail an STUTTGART.LKA.HINWEISE@polizei.bwl.de gesendet werden. Ob die Gesuchten bei anderen Banden aktiv sind, ist derzeit unklar.
Zusammenfassung
- BKA fahndet weltweit nach zwei russischen Ransomware-Drahtziehern
- Kravchuk und Shchukin leiteten REvil und GandCrab von 2019 bis 2021
- Allein in Deutschland werden den Beschuldigten 130 Erpressungen vorgeworfen
- Opfer zahlten insgesamt knapp zwei Millionen Euro an Lösegeld
- Der wirtschaftliche Gesamtschaden beläuft sich auf über 35 Millionen Euro
- Beim Kaseya-Hack wurden über eine Million Rechner weltweit infiziert
- Beide Verdächtige stehen auf der europäischen Meistgesuchten-Liste
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen