Internationale Polizei- und Justizbehörden haben am 9. Februar eine koordinierte Aktion gegen die Ransomware-Bande 8Base durchgeführt. An der Operation waren unter anderem Europol, Eurojust, das FBI, das Bayerische Landeskriminalamt, Polizeibehörden aus weiteren europäischen Ländern, aus Thailand, Japan sowie in der Schweiz die Bundesanwaltschaft und das Fedpol beteiligt. Die Darkweb-Präsenz der Gruppe wurde abgeschaltet.

In einer Stellungnahme gegenüber inside-it.ch erklärt die Bundesanwaltschaft (BA): "Die BA in der Schweiz hat im Dezember 2023 ein Strafverfahren eröffnet und in der Folge mehrere kantonale Verfahren übernommen. Gegenstand der kantonalen Verfahren waren Ransomware-Angriffe einer unbekannten Täterschaft – mutmasslich der Gruppierung 8Base – auf Schweizer Unternehmen."

Die BA führe die Strafuntersuchung in diesem Kontext gegen mehrere mutmassliche Hintermänner wegen Verdachts der gewerbsmässigen Erpressung, der unbefugten Datenbeschaffung, der Datenbeschädigung und der qualifizierten Geldwäscherei.

8Base tauchte erstmals im Frühling 2022 auf und wandte die doppelte Erpressung an: Verschlüsselung von Systemen und Diebstahl von Daten sowie die Androhung, sie zu veröffentlichen. In der Schweiz war die Bande unter anderem für die Attacken auf den IT-Dienstleister Concevis, den Schaffhauser Spezialisten für Netzwerk-Monitoring Nexus Telecom und die Zürcher Medtech-Firma Mikrona verantwortlich.

Laut dem letzten Halbjahresbericht des Bundesamts für Cybersicherheit (Bacs) gehörte 8Base im Berichtszeitraum neben Akira und Black Basta zu den drei aktivsten Ransomware-Banden in der Schweiz. Dies bestätigen auch die Zahlen der Monitoring-Plattform Falconfeeds.io für das vergangene Jahr. Die letzte Bekanntgabe eines angeblichen Schweizer Opfers veröffentlichten die Cyberkriminellen im Darkweb Anfang Januar 2025.

Das Bacs konstatierte im Halbjahresbericht: "In der Schweiz wurde 8Base bekannt, nachdem es der Gruppe im November 2023 gelang, das Schweizer IT-Unternehmen Concevis zu kompromittieren." Muster dieser Ransomware würden zeigen, "dass sie eine adaptierte Version der Ransomware 'Phobos v2.9.1' verwendet, die über die Schadsoftware 'Smokeloader' geladen wird".

Das Fedpol bestätigt auf Anfrage von inside-it.ch, dass Cyberspezialisten unter der Leitung der Schweizer Bundesanwaltschaft und als Teil der international koordinierten Zusammenarbeit der Strafverfolgungsbehörden ermittelt haben. "Im Zuge der Ermittlungen konnte das Bundesamt für Polizei weltweit mehr als 300 potenzielle Opfer von Ransomware-Attacken warnen. In der Schweiz konnte so rund ein halbes Dutzend Ransomware-Attacken vereitelt werden." Nach der international koordinierten Intervention und dem Takedown der 8Base-Seite im Darkweb sei eine sogenannte Splash-Site aufgeschaltet worden.

"Durch intensive Ermittlungen von BA und Fedpol in enger Zusammenarbeit mit den ausländischen Kollegen, insbesondere den amerikanischen und deutschen Strafverfolgungsbehörden sowie Europol und Eurojust, konnten mehrere Hintermänner der Gruppierung identifiziert und verhaftet werden", erklärt die Bundesanwaltschaft.

In Phuket hat das thailändische Cyber Crime Investigation Bureau im Rahmen der "Operation Phobos Aetor" vier Personen festgenommen. Wie die Zeitung 'Khaosod' berichtet, würden die Verdächtigen von Schweizer und US-Strafbehörden wegen Ransomware-Attacken gesucht. Im Rahmen dieses Ersuchens ergingen Haftbefehle von Interpol. Die Polizei hat bei den Razzien in Phuket über 40 Beweisstücke beschlagnahmt, darunter Mobiltelefone, Laptops und digitale Wallets, so 'Khaosad'. Zwischen April 2023 und Oktober 2024 sollen durch die Gruppe Angriffe auf 17 Schweizer Unternehmen durchgeführt worden sein. Wie das Bayrische Ladeskriminalamt (BLKA) mitteilt, seien vier "führende Köpfe" von 8Base nun identifiziert und auf Betreiben des FBI und der Schweizer Behörden in Thailand festgenommen worden. Die genutzte IT-Infrastruktur der Gruppierung sei beschlagnahmt und vom Netz genommen worden. "Zuvor wurde durch das Amtsgericht Bamberg die Beschlagnahme von insgesamt 115 Servern angeordnet. Weitere 15 Server wurden auf Anordnung der Zentralstelle Cybercrime Bayern beschlagnahmt. Im Zuge des Vollzugs wurden circa 25 Server aufgefunden und abgeschaltet, die noch aktiv durch die Gruppierung verwendet wurden", so das BLKA.

Im November 2024 wurde bereits ein russischer Staatsbürger von Südkorea an die USA ausgeliefert, der als einer der Entwickler und Administratoren der Phobos-Ransomware gilt. Das US-Departement of Justice wirft dem Verdächtigen vor, "den Verkauf, die Verbreitung und den Betrieb der Ransomware koordiniert zu haben". Mit dem Ransomware-as-a-Service-Modell von Phobos seien seit mindestens dem Jahr 2020 weltweit über 1000 erfolgreiche Angriffe durchgeführt und rund 18 Millionen Dollar an Lösegeldern erbeutet worden. Diese Verhaftung könnte zur Entdeckung von weiteren Verbindungen zur Gruppe 8Base beigetragen haben. Europol teilt in einem Communiqué mit, an der Operation seien Strafverfolgungsbehörden aus 14 Ländern beteiligt gewesen. "Während sich einige Länder auf die Ermittlungen zu Phobos konzentrierten, nahmen andere 8Base ins Visier, wobei mehrere an beiden Operationen teilnahmen." Im Laufe der Untersuchungen sei es gelungen, die Hauptakteure beider Ransomware-Netzwerke auszuschalten.

In ihrer Stellungnahme schreibt die Schweizer Bundesanwaltschaft: "Die Ermittlungen im Rahmen der von der BA geführten Strafuntersuchung sind noch im Gange, weshalb zum jetzigen Zeitpunkt keine weiteren Angaben gemacht werden können. Wie immer gilt für alle Verfahrensbeteiligten die Unschuldsvermutung."

Die BA und das Fedpol hätten massgebend zu den internationalen Ermittlungen beigetragen. "Dieses wichtige Ergebnis zeigt, dass die Strafverfolgungsbehörden in der Lage sind, effektiv gegen Ransomware-Gruppierungen vorzugehen", hält die Bundesanwaltschaft fest. Die Operation würde auch zeigen, "dass die internationale Zusammenarbeit zwischen den Akteuren im Kampf gegen Cyberkriminalität der Schlüssel zum Erfolg ist". Update 14.30 Uhr: Der Artikel wurde mit den Stellungnahmen von BLKA und Europol ergänzt.