recht sonnig15°
DE | FR
burger
Wirtschaft
Digital

Ransomware-Bande Conti: Brutaler russischer Cyber-Erpresser verurteilt

The sun sets behind the Kremlin and St. Basil's Cathedral in Moscow, Monday, May 4, 2026. (AP Photo/Pavel Bednyakov) Russia Daily Life
Sonnenuntergang hinter dem Kreml. Nun muss der Verhandlungsführer einer der berüchtigtsten russischen Ransomware-Gruppen in den USA büssen.Bild: keystone

Russische Erpresserbande terrorisierte auch Schweizer Firmen – und der Staat half mit

Denniss Zolotarjovs besitzt einen EU-Pass, arbeitete von Moskau aus und setzte auf psychologische Kriegsführung, um zahlungsunwillige Opfer einzuschüchtern. Sein Fall lässt tief blicken – und zeigt die fragwürdige Rolle des russischen Staates.
07.05.2026, 18:5907.05.2026, 18:59
Daniel Schurter
Daniel Schurter

Am vergangenen Montag wurde der russisch-lettische Staatsbürger Denniss Zolotarjovs in den USA zu einer Gefängnisstrafe von achteinhalb Jahren verurteilt.

In der digitalen Unterwelt operierte der 35-Jährige unter dem Pseudonym «Sforza» respektive «Sforza_cesarini». Dieser Name tauchte in zahlreichen Chat-Protokollen von russischen Ransomware-Operationen auf.

Zolotarjovs war Verhandlungsführer in einer der gefährlichsten Online-Erpresserbanden der Welt. Das US-Justizministerium beziffert den Gesamtschaden für den Zeitraum, in dem er nachweislich beteiligt war, auf mehrere hundert Millionen US-Dollar. Wobei dies nur die Spitze des viel zitierten Eisbergs sein düfte. Und in dem besagtem Zeitraum wurden auch einige bekannte Schweizer Firmen attackiert.

Brisant: Die Ermittler der US-Bundespolizei FBI nehmen in einer aktuellen Mitteilung kein Blatt vor den Mund, was die Verbindungen zum russischen Staat betrifft.

Inhaltsverzeichnis
Um welche Ransomware-Bande geht es?Was ist zu Russlands Beteiligung bekannt?Was hat das mit psychologischer Kriegsführung zu tun?Welche Schweizer Firmen gehören zu den Betroffenen?Wie flog er auf?Quellen
«Mit diesem Urteil sitzt ein grausamer, skrupelloser und gefährlicher internationaler Cyberkrimineller nun hinter Gittern.»
Andrew Tysen Duva, stellvertretender Generalstaatsanwalt beim US-Justizministerium

Um welche Ransomware-Bande geht es?

Laut Gerichtsakten war der gebürtige Russe Mitglied einer Ransomware-Organisation, die von ehemaligen Anführern der Conti-Ransomware-Bande geführt wurde. Zu den Markennamen, die die Organisation in ihren Lösegeldforderungen verwendete, gehören unter anderem Conti, Karakurt, Royal, TommyLeaks, SchoolBoys Ransomware und Akira.

Aus vom FBI sichergestellten Darknet-Chats ging hervor, dass die Gruppe diese neuen Namen erschuf, um sich von dem toxisch gewordenen Namen «Conti» zu distanzieren, weil sie merkten, dass Opfer weniger bereit waren zu zahlen, wenn sie wussten, dass sie es mit Conti zu tun hatten.

Die Täter führten nach dem Eindringen in fremde Netzwerke nicht nur Verschlüsselungsattacken mit anschliessender Erpressungsforderung aus. Sie nutzten zunehmend das in der Branche als «Double Extortion» bekannt gewordene Vorgehen, wertvolle Daten zu «exfiltrieren», also heimlich abfliessen zu lassen. Insbesondere Karakurt spezialisierte sich auf den Diebstahl von Dateien ohne sie zu verschlüsseln und fungierte quasi als Erpressungs-Arm des Conti-Ökosystems.

Was ist zu Russlands Beteiligung bekannt?

Laut US-Justizministerium operierte die kriminelle Vereinigung zeitweise von einem Bürogebäude in St. Petersburg aus und umfasste mehrere ehemalige russische Strafverfolgungsbeamte. Diese hatten Zugriff auf staatliche Datenbanken, was den Verantwortlichen Zugang zu neuen «Rekruten» verschaffte. Die Führungskräfte hinterzogen zudem gemäss FBI-Mitteilung Steuern und bezahlten regelmässig Bestechungsgelder, um Mitglieder – Männer im wehrpflichtigen Alter – vom obligatorischen Militärdienst in Russland zu befreien.

Die Erpresserbande, der er angehörte, war hierarchisch wie ein Unternehmen organisiert, mit verschiedenen Teams für Hackerangriffe, Datenanalyse und Verhandlungen. Sie nutzten ein Geflecht aus Scheinfirmen in Russland, Europa und den USA, um ihre Aktivitäten zu verschleiern.

Zolotarjovs agierte innerhalb des kriminellen Netzwerks nicht als Hacker, der in fremde IT-Systeme eindrang, sondern als spezialisierter Analyst und Verhandlungsführer.

Dem nun Verurteilten kam gemäss US-Staatsanwaltschaft eine Schlüsselrolle bei Erpressungsversuchen zu.

«Da er in Westeuropa gelebt und die Schule besucht hatte, war er eine Bereicherung für die Organisation. Seine Englischkenntnisse und seine rabiaten Verhandlungstaktiken machten ihn besonders effektiv bei der Wiederaufnahme der Verhandlungen.»

Was hat das mit psychologischer Kriegsführung zu tun?

Zolotarjovs Vorgehen war darauf ausgelegt, den maximalen Druck auf Betroffene auszuüben, insbesondere wenn diese sich zunächst weigerten, Lösegeld zu zahlen. Er suchte in den gestohlenen Daten gezielt nach Druckmitteln und kontaktierte auch direkt Kunden und Geschäftspartner der Opfer, um deren Ruf zu schädigen und sie zu verunsichern.

Für den Erstkontakt oder zur Einschüchterung von Drittparteien (Kunden der Opfer) nutzte er oft Konten beim Schweizer Cloud-Mail-Anbieter ProtonMail nutzte. Er schätzte die Anonymität und die Tatsache, dass die Mails von Firmen-Firewalls seltener blockiert wurden als russische Provider.

Der Cyberkriminelle ging methodisch vor:

  • Er suchte in den von Hackern erbeuteten Datenmengen auch gezielt nach Versicherungsunterlagen (Ransomware-Versicherungen), um genau zu wissen, wie viel das Opfer maximal zahlen konnte, ohne bankrottzugehen.
  • Dank seiner guten Englischkenntnisse vermied er das typische Klischee des russischen Gangsters und trat stattdessen wie ein aggressiver, aber professionell wirkender Inkasso-Agent auf.
  • Und er führte detaillierte Dossiers über seine Verhandlungspartner.

Das perfide Vorgehen zeigte sich etwa beim Angriff auf eine US-Kinderklinik. Nachdem er beim Versuch, Lösegeld zu erpressen, scheiterte, forderte er seine Komplizen auf, «ZERSTÖRER» zu werden. Sie sollten Kopien der gestohlenen Patientendaten veröffentlichen oder verkaufen, um Angst unter zukünftigen Opfern zu verbreiten. Als ein Mittäter vorschlug, jedem Patienten seine eigenen Daten zuzusenden, verschickte Zolotarjovs stattdessen ein «allgemeines Datenpaket» mit sensiblen Daten an Hunderte von Betroffenen.

Zwischen Juni 2021 und März 2023 war seine Bande an Angriffen auf mehr als 50 Unternehmen allein in den Vereinigten Staaten von Amerika beteiligt. Die tatsächliche Zahl der Opfer in Nordamerika und Europa dürfte viel höher sein.

In den sichergestellten Chat-Protokollen diskutiert der User «Sforza» unter anderem auch darüber, wie erfolgreich seine Bemühungen waren, alte «Cold Cases» (also Opfer, die eigentlich nicht zahlen wollten) wieder aufzuwärmen und doch noch Lösegeld aus ihnen herauszupressen.

Er betrieb umfangreiche Recherchen in öffentlich zugänglichen Quellen über die Opfer, um Telefonnummern, E-Mail-Adressen und andere Konten zu identifizieren, über die er sie kontaktieren und unter Druck setzen konnte, um entweder das Lösegeld zu zahlen oder die Verhandlungen mit der Ransomware-Gruppe wieder aufzunehmen.

Für erfolgreiche Dienste als Unterhändler erhielt er jeweils eine Provision von 10 Prozent des erpressten Lösegelds, das ihm in der Kryptowährung Bitcoin ausbezahlt wurde. Die kriminellen Einnahmen tauschte er unter anderem über die 2025 von Ermittlern stillgelegte russische Kryptohandelsplattform Garantex in Bargeld und Luxusgüter um.

Welche Schweizer Firmen gehören zu den Betroffenen?

Zolotarjovs wurden nun wegen Beteiligung an einer «Ransomware-Verschwörung» von Juni 2021 bis März 2023 verurteilt. In jenem Zeitraum schlugen die russischen Cyberkriminellen, die zur Conti-Bande gehörten und unter verschiedenen (oben erwähnten) Markennamen agierten, auch hierzulande zu.

Bekannte damalige Schweizer Conti-Opfer waren:

  • Habasit, weltweit führender Hersteller von Antriebsriemen und Förderbändern (Juli 2021).
  • Der Gebäudetechnik-Spezialist Meier Tobler (Juli 2021).
  • Saurer, Textilmaschinenbauer (Aug. 2021)
  • Die Hirslanden-Privatklinikgruppe (Nov. 2021).
  • Der Messeveranstalter Bernexpo (Dez. 2021).
  • Universität Neuenburg (Feb. 2022).

Bereits im Mai 2022 hatte die Gruppe offiziell ihre Auflösung angekündigt. Dies geschah nach internen Unruhen und massiven Datenlecks («ContiLeaks»). Auslöser dafür war, dass sich die Gruppe im Zuge des russischen Überfalls auf die Ukraine öffentlich auf die Seite Wladimir Putins stellte.

Analyse
Super-GAU für russische Hackerbande – Leak könnte unbekannte Schweizer Opfer betreffen

Die Ransomware-Operation Black Basta wird von Ermittlungsbehörden (darunter das FBI) als eine der ersten grossen Abspaltungen angesehen, die daraus hervorgingen.

Anzumerken ist, dass viele russischsprachige Ransomware-Gruppierungen nicht als Konkurrenten agieren, sondern oft als ein loses Netzwerk von Zellen funktionieren, die Werkzeuge, Geldwäsche-Kanäle und Personal teilen.

Wie flog er auf?

Zolotarjovs wurde im Dezember 2023 in Georgien verhaftet. Dabei wurde zwar Hardware sichergestellt, aber die entscheidenden Beweise für seine Identität stammten aus der monatelangen Überwachung seiner digitalen Spuren.

Das FBI konnte Zolotarjovs enttarnen, nachdem sich Ermittler unbemerkt Zugriff auf einen privaten Chat-Server im Darknet verschafft hatten und mitlasen. Die dort gespeicherten Chat-Protokolle belegten seine aktive Rolle bei der Planung von Erpressungen und der Kommunikation mit Opfern.

Zolotarjovs nutzte eine verschlüsselte ProtonMail-Adresse für Erpressungsschreiben, die er gemäss FBI-Ermittlern unvorsichtigerweise mit seinem persönlichen iCloud-Konto und seiner echten lettischen Identität verknüpfte.

Quellen

Analyse
Diese vier Trends gefährden laut IT-Fachleuten auch deine Sicherheit
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Donald Trump checkt nicht, wie Uno-Kartenspiel funktioniert – und wird prompt parodiert
Video: watson
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
9 Kommentare
Zum Login
user avatar
Dein Kommentar
YouTube Link
0 / 600
Hier gehts zu den Kommentarregeln.
9
Was wegen des Iran-Kriegs in der Schweiz jetzt schon teurer ist
Was kostet der Iran-Krieg hierzulande die Konsumenten? Eine neue Statistik liefert erste Hinweise.
Das Bundesamt für Statistik hat am Dienstag den Landesindex der Konsumentenpreise für den April veröffentlicht. Demnach zieht die Inflation in der Schweiz wieder an. Im April lagen die Preise durchschnittlich um 0,6 Prozent höher als im Vorjahr. Das ist der grösste Anstieg seit dem Dezember 2024.
Zur Story