International
Digital

Internationales Hacker-Netzwerk in Westdeutschland enttarnt

«DoppelPaymer» – internationales Hacker-Netzwerk in Deutschland enttarnt

Bei den Verhafteten soll es sich um «Kernmitglieder» der kriminellen Gruppe handeln, die für grossangelegte Cyberangriffe mit der DoppelPaymer-Ransomware verantwortlich ist. Drei Russen werden weltweit gesucht.
06.03.2023, 17:1907.03.2023, 07:59
Mehr «International»

Als «Double-Spider» sorgte die Hacker-Gruppe für Angst und Schrecken, nun soll sie Ermittlern aus dem westdeutschen Bundesland Nordrhein-Westfalen ins Netz gegangen sein.

Diese haben nach eigenen Angaben die mutmasslichen Drahtzieher des internationalen Netzwerks von Cyber-Kriminellen identifiziert, die für spektakuläre Hackerangriffe weltweit verantwortlich sein sollen.

Gegen drei Verdächtige seien Haftbefehle erlassen worden, gegen acht weitere werde ermittelt, berichteten Ermittler von Landeskriminalamt und Staatsanwaltschaft am Montag in Düsseldorf. Sie seien zwischen 32 und 41 Jahre alt. Europol und FBI seien in die Ermittlungen einbezogen gewesen.

Den Verdächtigen werden unter anderem der Angriff auf das Uni-Klinikum Düsseldorf, die deutsche Mediengruppe Funke und den ostdeutschen Landkreis Anhalt-Bitterfeld angelastet. Letzterer hatte deswegen den Katastrophenfall ausgerufen.

Bezüge zu Russland

Einer der Verdächtigen, ein 41-jähriger Russe, werde auch vom FBI gesucht, das fünf Millionen US-Dollar Belohnung auf ihn ausgesetzt habe. Der Gruppe werden mehr als 600 Angriffe auf Institutionen weltweit angelastet, bei denen erheblicher Schaden entstanden sei.

Die kriminelle Gruppierung namens «Double-Spider» oder «Grief» (Kummer) habe Bezüge nach Russland, es gebe aber keine Hinweise auf staatliche Akteure hinter den Machenschaften. Den Verdächtigen sei es um Lösegeld in Millionenhöhe gegangen, so die deutschen Ermittler.

«Wir sehen bei einzelnen Personen dieser Tätergruppe auch Bezüge und Verbindungen zum russischen Inlandsgeheimdienst FSB und der paramilitärischen Söldnertruppe Wagner», sagte dagegen Nordrhein-Westfalens Innenminister Herbert Reul. Auch wenn die Taten der persönlichen Bereicherung dienten, liege die Vermutung nahe, dass sie mindestens staatlich geduldet wurden. Zudem sei nicht auszuschliessen, dass die abgeschöpften Daten und Gelder auch für staatliche Zwecke genutzt werden.

Die drei Verdächtigen Igor T. (41), Irina Z. (36) und Igor G. (32) werden nun weltweit gesucht. Sie stünden jetzt auf der Europol-Fahndungliste «Europe's most wanted». Wo sich das Trio aktuell aufhalte, sei unklar. «Die Angriffe auf die kritische Infrastruktur sind ein Spiel auf Leben und Tod», sagte ein Europol-Sprecher in Düsseldorf.

«Solche Cyber-Verbrecher machen auch vor Unikliniken nicht halt», sagte LKA-Chef Ingo Wünsch. «Die Firmen müssen ihre digitalen Tore sichern.» So bestand im Fall des Düsseldorfer Uniklinikums der Verdacht, die Hacker könnten für den Tod eines Patienten verantwortlich sein. Dies hatte sich letztlich aber nicht bestätigt.

Ukraine half bei Ermittlungen

Trotz des Krieges habe die Polizei in der Ukraine die Ermittlungen tatkräftig unterstützt, berichteten die Ermittler. Dort und in Deutschland sei es in der vergangenen Woche zu Durchsuchungen und Vernehmungen gekommen.

«Die Ermittler analysieren derzeit die beschlagnahmten Geräte, um die genaue Rolle des Verdächtigen in der Struktur der Ransomware-Gruppe zu ermitteln. Gleichzeitig und trotz der derzeit äusserst schwierigen Sicherheitslage, in der sich die Ukraine aufgrund der russischen Invasion befindet, verhörten ukrainische Polizeibeamte einen ukrainischen Staatsangehörigen, der ebenfalls als Mitglied der DoppelPaymer-Kerngruppe vermutet wird.»
Medienmitteilung von Europol

In Deutschland habe die Gruppe mindestens 37 Institutionen angegriffen und geschädigt. Von einer Dunkelziffer sei auszugehen, weil es immer noch Unternehmen gebe, die Lösegeld zahlten, ohne die Polizei einzuschalten. 2021 seien in Nordrhein-Westfalen die internationalen Ermittlungen gegen die Gruppe übernommen worden. Dabei sei eine Schattenökonomie ans Licht gekommen.

So gebe es Stellen-Ausschreibungen und Headhunter für Hacker. Sogenannte Access-Broker handelten mit unsicheren Stellen in Firmen-Netzwerken. Hacker-Angriffe würden auch als kriminelle Dienste an Dritte vermittelt. Das Ganze werde über Geldwäsche-Netzwerke mit Kryptowährungen abgewickelt.

Neben den drei genannten Verdächtigen werde noch gegen acht weitere aus Deutschland, Russland, Moldawien und der Ukraine ermittelt. 13 EU-Länder seien betroffen. Gesucht werden sie wegen besonders schwerer Erpressung und Computer-Sabotage.

Es sei nun gelungen, konkreten Personen konkrete Taten nachzuweisen, sagte Oberstaatsanwalt Markus Hartmann. Dafür seien die digitalen Spuren so verdichtet worden, dass es für Haftbefehle gereicht habe. «Der Begriff Hacker-Angriff ist eigentlich eine Verharmlosung des Geschehens.» Man habe es mit strukturierter Organisierter Kriminalität zu tun.

Die internationale Fahndung werde es den Verdächtigen nun erschweren, ihr Geld etwa in Paris, London oder Mailand auszugeben. Die Verdächtigen hätten Software bekannter Hackergruppen wie der Evil Group oder Dridex weiterentwickelt und damit selbst Unternehmen angegriffen, berichtete LKA-Ermittler Dirk Kunze. «Double-Spider», wörtlich übersetzt Doppel-Spinne, ist der englische Begriff für die Kurbelgarnitur als Teil des Tretwerks am Fahrrad.

«Diese Ransomware tauchte 2019 auf, als Cyberkriminelle damit begannen, Angriffe auf Organisationen und kritische Infrastrukturen und Branchen zu starten. Basierend auf der BitPaymer-Ransomware und Teil der Dridex-Malware-Familie nutzte DoppelPaymer ein einzigartiges Tool, das in der Lage ist, Abwehrmechanismen zu kompromittieren, indem es den sicherheitsrelevanten Prozess der angegriffenen Systeme beendet. Die DoppelPaymer-Angriffe wurden durch die produktive EMOTET-Malware ermöglicht.»
Medienmitteilung von Europoleuropol.europa.eu

Eine der Vorläufergruppen soll für den Angriff auf das nationale britische Gesundheitssystem verantwortlich sein. Für den Fall habe die Ermittlungsgruppe «Parker» fast 100 Rechtshilfeersuchen gestellt, darunter auch an Russland. Sie hofft nun auf Hinweise zum Aufenthalt der Verdächtigen.

Schlinge zieht sich zu

Die internationale Polizei-Operation gegen DoppelPaymer wurde nur wenige Wochen nach einem schweren Schlag gegen die Ransomware-Vereinigung Hive durch die US-Behörden publik gemacht.

Dem FBI war es im Sommer 2022 gelungen, das Hive-Kontrollzentrum im Internet, bzw. Darknet, zu infiltrieren. Das ermöglichte den Agenten, Opfer frühzeitig zu identifizieren und Entschlüsselungsschlüssel zu erhalten, mit denen sie verschlüsselte Dateien wiederherstellen und Lösegeldzahlungen in Höhe von 130 Millionen US-Dollar verhindern konnten.

Quellen

(sda/dpa)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Sieben eindrückliche Hacker-Attacken
1 / 10
Sieben eindrückliche Hacker-Attacken
2014 wurden private Fotos – vor allem Nacktbilder – von über 100 Prominenten im Netz veröffentlicht, die von Apples Online-Speicher iCloud gestohlen wurden. Auch Jennifer Lawrence war davon betroffen.
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf X teilen
Hacker übernimmt die Kontrolle über selbstfahrendes Auto
Video: srf
Das könnte dich auch noch interessieren:
1 Kommentar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
1
So verändert KI das Vorgehen von Tätern, die pädokriminelle Inhalte erstellen

Künstliche Intelligenz (KI) verändert die Erstellung von pädokriminellem Material, umgangssprachlich Kinderpornografie genannt: «Die KI-Täter passen weniger in das klassische Täterprofil, das wir bisher kannten», sagte Regula Bernhard Hug, Leiterin der Geschäftsstelle beim Kinderschutz Schweiz.

Zur Story