Drahtzieher hinter berüchtigter Ransomware-Bande enttarnt

6. März 2023 um 14:44
  • security
  • ransomware
  • cybercrime
  • justiz
  • international
image
Foto: Europol

Die Cyberkriminellen sollen auch den verheerenden Angriff auf die Uniklinik Düsseldorf verübt haben. Polizeibehörden haben Haftbefehle erlassen und Geräte beschlagnahmt.

Das Landeskriminalamt Nordrhein-Westfalen und die Nationale Polizei der Ukraine haben am 28. Februar zu einem Schlag gegen Cyberkriminelle ausgeholt. Diese sollen hinter Angriffen mit der Ransomware DoppelPaymer und Grief stecken. Unterstützt wurden die Behörden von Europol, der niederländischen Polizei und dem FBI. "Seit Juni 2020 sind die Cybercrime-Spezialisten des LKA NRW den international agierenden Cyberkriminellen auf der Spur", teilte das Landeskriminalamt mit. Dazu wurde eigens die Ermittlungskommission "Parker" eingerichtet.
Der Bande werden zahlreiche Cyberangriffe zur Last gelegt. Sie soll für über 600 Attacken verantwortlich sein. Laut Europol zahlten in den USA Opfer zwischen Mai 2019 und März 2021 mindestens 40 Millionen Euro an Lösegeld. In Deutschland seien 37 Unternehmen und Organisationen bekannt, die erfolgreich angegriffen wurden.

Notfallpatienten mussten nach Angriff verlegt werden

Dort fanden auch einige der spektakulärsten Fälle statt: Im September 2020 musste die Uniklinik Düsseldorf nach einem Angriff mit DoppelPaymer ihre Systeme herunterfahren und Notfallpatienten in andere Spitäler verlegen. Im Juli 2021 rief der Landkreis Anhalt-Bitterfeld den Cyber-Katastrophenfall aus. Alle Systeme der Verwaltung waren lahmgelegt worden. Weiter gehörte die deutsche Mediengruppe Funke zu den Opfern.
Gemäss Mitteilung tauchte die Ransomware DoppelPaymer 2019 auf und soll auf die Gruppierung "Indrik Spider" zurückgehen, die erstmals 2017 aktiv wurde. "DoppelPaymer basiert auf der BitPaymer-Ransomware und gehört zur Dridex-Malware-Familie", schreibt Europol. "Die DoppelPaymer-Angriffe wurden durch die weit verbreitete Emotet-Malware ermöglicht. Die Ransomware wurde über verschiedene Kanäle verteilt, einschliesslich Phishing- und Spam-E-Mails mit angehängten Dokumenten, die bösartigen Codes enthalten – entweder JavaScript oder VBScript." Ab 2021 sei die Bezeichnung der Ransomware in PayOrGrief und im Januar 2022 wiederum in Entropy geändert worden.

Hausdurchsuchungen in Deutschland und der Ukraine

In Deutschland wurden mehrere Objekte durchsucht. Darunter das Haus eines deutschen Staatsbürgers, von dem angenommen wird, dass er eine wichtige Rolle in der Ransomware-Gruppe gespielt hat. "Die Ermittler analysieren derzeit die beschlagnahmten Geräte, um die genaue Rolle des Verdächtigen in der Struktur der Gruppe zu bestimmen", so Europol. Ukrainische Polizeibeamte durchsuchten zeitgleich "trotz der derzeit äusserst schwierigen Sicherheitslage" weitere Objekte, darunter in Kiew und in Charkiw, und beschlagnahmten ebenfalls Geräte. Ein ukrainischer Staatsbürger werde derzeit verhört, der zum Kernteam der Bande gehören soll.
Die Cyberkriminellen hätten auch Bezüge nach Russland, es gebe aber keine Hinweise auf staatliche Akteure hinter den Machenschaften. Den Verdächtigen sei es um Lösegeld in Millionenhöhe gegangen, so die deutschen Ermittler. Mit Haftbefehlen suchen die Strafverfolgungsbehörden nun weltweit nach zunächst 3 Verdächtigen: Igor T., Irina Z. und Igor G.. Sie stehen ab sofort auf der Europol-Fahndungsliste "Europe's most wanted". Neben den 3 genannten Verdächtigen werde noch gegen 8 weitere aus Deutschland, Russland, Moldawien und der Ukraine ermittelt. Vorgeworfen wird ihnen besonders schwere Erpressung und Computer-Sabotage. Die Ermittlungsgruppe "Parker" hat fast 100 Rechtshilfeersuchen gestellt, darunter auch an Russland. Sie hofft nun auf Hinweise zum Aufenthalt der Verdächtigen.
(Mit Material von Keystone-sda)

Loading

Mehr zum Thema

image

Strafverfolger schalten Geldwäschedienst für Ransomware ab

Internationale Behörden unter Beteiligung des Fedpols haben die Plattform "AudiA6" zerschlagen. Über diese wurden Millionen in Kryptowährungen gewaschen.

publiziert am 12.6.2026
image

Github verschärft npm-Sicherheitsstandards

Künftig werden Installationsskripte sowie bestimmte Abhängigkeiten standardmässig blockiert und nur noch nach expliziter Freigabe ausgeführt.

publiziert am 11.6.2026
image

Servicenow meldet Sicherheitsproblem

Der Softwarekonzern hat eine Sicherheitslücke in seiner Cloud-Plattform geschlossen. Zuvor war ein unautorisierter Zugriff auf Servicenow-Instanzen möglich gewesen.

publiziert am 10.6.2026
image

Anthropic lanciert Claude Fable 5 für alle Nutzer

Parallel dazu startet mit Claude Mythos 5 eine Variante mit erweiterten Cybersecurity-Fähigkeiten, die zunächst nur ausgewählten Organisationen zugänglich ist.

publiziert am 10.6.2026