Die Zürcher Staatsanwaltschaft und die Kantonspolizei Zürich haben am Freitag in einer gemeinsamen Mitteilung über einen Ermittlungserfolg gegen eine berüchtigte Ransomware-Gruppierung informiert.
Laut Medienmitteilung wird den Tätern vorgeworfen, an Cyberattacken mit den Schadprogrammen «LockerGoga» und «MegaCortex» beteiligt gewesen zu sein. Die Angriffe richteten sich gegen mehr als 1800 Personen und Institutionen in 71 Ländern. Dabei hätten sie einen geschätzten Schaden von insgesamt mehreren 100 Millionen Franken verursacht.
Der Ermittlungserfolg geht auf eine Verhaftung im Oktober 2021 im Basler Vorort Binningen zurück.
Im Oktober 2021 führten Strafverfolgungsbehörden aus Frankreich, den Niederlanden, Norwegen, der Ukraine, den USA und der Schweiz mit Unterstützung von Europol und Eurojust eine Aktion gegen eine weltweit tätige Gruppe von Cyberkriminellen durch, wie die Zürcher Kantonspolizei und die Staatsanwaltschaft in der gemeinsamen Medienmitteilung vom Freitag schreiben. In der Mitteilung sind keine Namen oder Nationalitäten genannt.
Gemäss früherer CH-Media-Recherchen handelt es sich um die berüchtigte Cybercrime-Bande FIN6. Sie operierte während Jahren aus der Ukraine, aber auch aus der Schweiz heraus.
In der IT-Sicherheitsbranche sei die kriminelle Gruppierung auch als «Skeleton Spider», «MageCart Group6», «White Giant», «Gold Franklin» oder als «ITG08» bekannt.
Im Zuge der international koordinierten Aktion nahmen die basellandschaftlichen Strafverfolgungsbehörden in Binningen einen Mann wegen des Verdachts auf Geldwäscherei und Datenbeschädigung fest – laut CH-Media-Recherchen ist es ein gebürtiger Ukrainer. Die Zürcher Staatsanwaltschaft übernahm dieses Verfahren, der Verdächtige sitzt auch in einem Zürcher Gefängnis in Untersuchungshaft.
In sieben ukrainischen Städten wurden elf Personen festgenommen. Sie standen im Verdacht, hochrangige Mitglieder der Cybercrime-Bande FIN6 zu sein. Der Verhaftete bei Basel war laut CH-Media-Bericht ihr zwölfter Mann.
Parallel zum laufenden Strafverfahren der Zürcher Staatsanwaltschaft konnten die Cyberermittlerinnen und -ermittler der Kantonspolizei in den letzten Monaten intensiv die anlässlich einer Hausdurchsuchung im Kanton Basel-Landschaft sichergestellten Datenträger auswerten, wie es heisst.
Diese Auswertung habe zahlreiche private Schlüssel («Private Keys») zu Ransomware-Attacken zum Vorschein gebracht. Diese sichergestellten Daten ermöglichen nun laut Mitteilung den geschädigten Unternehmen und Institutionen, die zuvor mit den Schadprogrammen «LockerGoga» oder «MegaCortex» verschlüsselten Daten wiederherzustellen.
In Kooperation mit Europol, dem Projekt «No More Ransom» und der IT-Sicherheitsfirma Bitdefender werde nun ein Tool zur Verfügung gestellt, das die Geschädigten bei der Entschlüsselung von LockerGoga unterstützt. Dieses Tool ist auf der Website nomoreransom.org abrufbar.
Das Tool zur Entschlüsselung von MegaCortex-Dateien werde in Kürze veröffentlicht.
Weiter ruft die Zürcher Justiz in der Mitteilung Geschädigte dringend dazu auf, in ihrem Heimatland Strafanzeige zu erstatten, sofern sie dies nicht bereits getan haben.
Die kriminelle Vereinigung, die die LockerGoga-Ransomware einsetzte, steckt Berichten zufolge auch hinter den Angriffen auf das norwegische Aluminiumunternehmen Norsk Hydro im März 2019 und die französische Industrieberatungsgruppe Altran im Januar 2019. Sie habe auch die US-Chemieunternehmen Hexion und Momentive attackiert.
Die Bande infiltrierte IT-Netzwerke von Unternehmen mit Phishing-E-Mails und gestohlenen Zugangsdaten, sie bewegte sich zum Teil während Monaten unentdeckt und liess Daten abfliessen, die sie über Darknet-Marktplätze verkaufte, bevor sie schliesslich die Verschlüsselung startete.