Fahnder knacken Erpresser-Netz – die Spur führt nach Russland
Die technische Infrastruktur der Cybercrime-Gruppierung Blacksuit (früher als Royal bekannt) sei identifiziert und beschlagnahmt worden, teilte in Deutschland das Landeskriminalamt (LKA) Niedersachsen mit. Die Spuren der Online-Erpresserbande hatten die Ermittler ins europäische Ausland geführt, wo mehrere Serversysteme sichergestellt und vom Netz genommen wurden, wie der LKA-Cybercrime-Experte Frank Puschin sagte.
Durch das Abschalten der Server wurden demnach die Kommunikation, die Verbreitung der Schadsoftware, sprich des Erpressungstrojaners, und die Darknet-Site der Täter getroffen. Wo genau die Infrastruktur stand, die für die Ransomware-Angriffe genutzt wurde, wollen die Ermittler nicht verraten. «Allerdings können wir sagen, dass die Täter im russischsprachigen Raum sitzen. Das ist kein Geheimnis», berichtete Puschin.
Mehr als 500 Millionen US-Dollar Schaden
Die Ermittler sprechen von 184 geschädigten Unternehmen oder Einrichtungen weltweit, von denen etwa 40 in Deutschland registriert seien. Eine im August 2024 festgestellte Schadensumme bezifferten die Beamten auf mehr als 500 Millionen US-Dollar. Bei der langfristig geplanten Aktion gegen Blacksuit/Royal seien Ende Juli erhebliche Mengen an Daten gesichert worden. Diese sollen zur Aufklärung und Identifizierung von Verantwortlichen ausgewertet werden.
Täter erpressen doppelt
Bei den Taten handelt es sich nach Beschreibung der Ermittler um doppelte Erpressung. Die Angreifer verschlüsseln Daten nicht nur, sondern stehlen diese vorher. Das bedeute, dass die Täter eine Kopie haben, auch wenn die Opfer selbst in der Lage sind, ihre Dateien wiederherzustellen. Anschliessend werde damit gedroht, die Daten zu veröffentlichen oder zu verkaufen, um Lösegeld zu erpressen. Die betroffenen Unternehmen kommen nach LKA-Angaben aus allen Branchen. «Die Täter haben keine Präferenz», sagte Puschin.
Bisher habe es in diesem Ermittlungskomplex keine Festnahmen gegeben. Es sei bisher auch nicht gelungen, Geld sicherzustellen. Die Infrastruktur und die Täter nachhaltig gestört zu haben, sei ein Zwischenschritt, der weitere Ermittlungsansätze generieren solle, sagte Puschin. Die Ermittler gehen ihm zufolge davon aus, dass sich die Täter neu formieren und unter anderer Bezeichnung weitermachen.
Die Hintermänner sollen seit vielen Jahren im Ransomware-Geschäft aktiv sein und treten immer wieder mit abgeänderter Schadsoftware unter neuen Namen auf. BlackSuit zielte sowohl auf Linux- als auch auf Windows-Systeme ab.
(sda/dpa/oli)
