VG-Wort Pixel

REvil-Gruppe 22-jähriger Hacker mit Millionenbeute: Behörden gelingt globaler Schlag gegen Cyber-Erpresser

APT28 Fancy Bear Sofacy Hacker
Die Hacker-Angriffe auf Behörden und Unternehmen haben in den letzten Jahren stark zugenommen (Symbolbild)
© FangXiaNuo / Getty Images
Erpressungs-Trojaner sind ein gigantisches Geschäft krimineller Hacker geworden. Nun ist internationalen Ermittlungsbehörden ein empfindlicher Schlag gegen eine der gefährlichsten Gruppen gelungen. Es geht um viele Millionen Euro.

Auf einmal ist der Rechner gesperrt. Und damit der Zugang zu wichtigen Dokumenten, persönlichsten Daten, Fotos und unersetzbaren Kunden-Informationen. Erst ein hohes Lösegeld soll Erlösung bringen. Erpressungstrojaner sind schon seit Jahren eine der größten Gefahren des Internetzeitalters. Jetzt ist den internationalen Behörden ein großer Schlag gelungen.

Das verkündeten die Europol und das US-Justizministerium in jeweils eigenen Statements. Im Kern geht es aber um dieselbe koordinierte Aktion mit dem Codenamen "Golddust". In den letzten Monaten wurden sieben Verdächtige verhaftet, die als Teil der REvil-Gruppe für Tausende Attacken verantwortlich gewesen sein sollen. Ermittlungsbehörden in 17 Ländern haben demnach zusammengearbeitet, um die Kriminellen zu überführen. Beteiligt waren neben den USA und Deutschland unter anderen auch Frankreich, die Niederlande, Polen und Kanada.

22-jähriger Hacker-Veteran

Das US-Justizministerium hebt vor allem den 22-jährigen ukrainischen Staatsbürger Yaroslav V. sowie den aus Russland stammenden Yevgeniy P. (28) hervor. V. soll unter anderem hinter einer Attacke auf den Software-Anbieter Kaseya stecken. Indem er dessen Remote-Werkzeuge infiltrierte, soll er mehr als 1500 weitere Unternehmen gehackt haben, die Kunden des Anbieters waren. Dadurch sollen Millionen-Schäden entstanden sein.

Der junge Ukrainer war ins Visier der Ermittler geraten, als er 2019 in einem russischen Hackerforum Kunden für seine Schadsoftware suchte. Hatten Hackergruppen lange ihre Werkzeuge nur für sich selbst entwickelt, werden sie mittlerweile immer öfter auch als eine Art Dienstleistung weitervermietet. Trotz seines jungen Alters schein V. damals schon ein Veteran gewesen zu sein. Die in der Anklage genannten von ihm genutzten Pseudonyme wurden bereits seit mindestens 2013 in einschlägigen Hacker-Foren benutzt, stellte der Security-Experte Brian Krebs in seinem Blog fest. V., der zuletzt in Polen lebte, scheint sich recht sicher gefühlt zu haben. In seinem Profil auf der russischen Social-Media-Seite hatte er Krebs zu folge die Tip-Hotline des FBI als Telefonnummer angegeben.

Hunderte Jahre Gefängnis

Auch dem weiter gesuchten P. wird vorgeworfen, sich mit der REvil-Software und Attacken auf US-Firmen bereichert zu haben. Zu den mehr als 3000 Attacken, die ihm vorgeworfen werden, gehört etwa eine Serie von Attacken auf texanische Behörden vor zwei Jahren. Insgesamt soll er mehr als 13 Millionen Dollar als Lösegeld gefordert haben. Und das wohl durchaus erfolgreich: Die US-Behörden haben 61 Millionen Dollar in Krypto-Währungen beschlagnahmt, die P. zugeordnet werden.

Eine Person hält ein Handy in der Hand, eine SMS zeigt einen Phishing-Link.

Den beiden Männern drohen nun hohe Strafen. So wird ihnen kriminelle Verschwörung, Betrug und Geldwäsche vorgeworfen. "Würden sie in allen Punkten schuldig gesprochen, drohen ihnen jeweils Gefängnisstrafen zwischen 115 und 145 Jahren", heißt es trocken von Seiten des US-Justizministeriums. V. befindet sich in Polen in Haft und wartet auf seine Auslieferung. Neben den beiden nun Angeklagten wurden laut Europol noch zwei Männer in Rumänien sowie weitere in Südkorea, Kuweit und der Ukraine festgenommen. Auch ihnen werden teils Tausende Angriffe zugeordnet.

Die Staaten haben genug

Die Verhaftungen stellen den Höhepunkt einer Kampagne der internationalen Ermittlungsbehörden gegen die zunehmende Gefahr der Erpressungs-Trojaner dar. War jahrelang Kleinst-Erpressung von Zufallsopfern das verbreitetste Muster, geraten in den letzten Jahren immer öfter Firmen, Behörden und essenzielle Infrastruktur wie Krankenhäuser ins Visier der Hacker – mit entsprechend höheren Lösegeldern.

Nun zeigen die Staaten, dass sie doch nicht so machtlos sind, wie es lange schien. "Wir bringen die volle Stärke der Bundesregierung auf, um diese gefährlichen Cyberaktivitäten zu stören, die Abwehr Zuhause stärken, die damit verbundene Geldwäsche anzugehen und mit Hilfe internationaler Zusammenarbeit die Ransomware-Ökosysteme zu stören und sichere Häfen für die Kriminellen zu verhindern", erklärte US-Präsident Joe Biden in einem Statement zu den Verhaftungen. 

Internationaler Erfolg

Vor allem die Beschlagnahmung der Lösegelder wird als Erfolg gesehen. "Das erinnert die Erpresser, dass sie nicht mal in Russland sicher sind. Selbst wenn wir euch nicht kriegen, nehmen wir euch das Geld", freut sich Experte Allan Liska gegenüber "Wired". Auch die internationale Zusammenarbeit bewertet er sehr positiv. Sobald Dienste außerhalb des oft als sicheren Hafen für Cyberkriminelle betrachteten Russland genutzt würden, könnten die Behörden eben doch zuschlagen.

Dass vor allem die USA die Bedrohung durch die Erpresser ernst nehmen, zeigt jüngst eine Ankündigung: 10 Millionen Dollar Belohnung hat das US-Außenministerium als Belohnung ausgeschrieben, wenn man Informationen zu einem der Betreiber von REvil liefern kann. Bis zu 5 Millionen Dollar gibt es für Informationen, die zur Verhaftung oder Verurteilung eines einzelnen Erpressers führen, der die Software nutzt. 

Quellen:US-Anklage, Krebs on Security, Wired, US-Außenministerium


Mehr zum Thema



Newsticker