Im Rahmen einer mit dem FBI abgestimmten Aktion konnten Ermittler aus Bayern die Infrastruktur der Ransomware-Gruppe "Radar/Dispossessor" beschlagnahmen und Mitglieder der Gruppe identifizieren. Die Tatverdächtigen kommen aus der Ukraine, Russland, Kenia, Serbien, Litauen und den Vereinigten Arabischen Emiraten. Gegen einen Verdächtigen, dem Taten in Deutschland vorgeworfen werden, wurde ein internationaler Haftbefehl erlassen. Die übrigen Verdächtigen werden in anderen Ländern strafrechtlich verfolgt.
Mit der Aktion wurden in Deutschland 17, in Großbritannien drei und in den USA fünf Server beschlagnahmt, insgesamt acht von den Kriminellen genutzte Domains unschädlich gemacht und zwölf Täter identifziert werden. Ob es zu Festnahmen kanm lassen die Behörden offen. Der Fokus der weiteren Ermittlungen liege nun darauf, weitere Tatverdächtige zu identifizieren und Erkenntnisse zu anderen geschädigten Unternehmen zu gewinnen.
Für die Ermittlungen hatte das Bayerischen Landeskriminalamt (BLKA) eine zeitweise aus zehn Beamten bestehende Ermittlungsgruppe zusammengestellt. "Mit der Beschlagnahmung der IT-Infrastruktur ist der ZCB, dem BLKA und seinen internationalen Partnern ein wichtiger Schlag gegen Cyberkriminelle gelungen", erklärt Guido Limmer, Vizepräsident des Bayerischen Landeskriminalamts. "Dies zeigt deutlich, dass die Täter auch im virtuellen Raum jederzeit damit rechnen müssen, überführt und zur Verantwortung gezogen zu werden. Die Abschaltung der Server bewahrt weitere zahlreiche Unternehmen auf der ganzen Welt vor teils existenziellen finanziellen Folgen."
"Radar/Dispossessor" war seit August 2023 aktiv
Die Gruppe "Radar/Dispossessor" trat im August 2023 erstmals in Erscheinung. Sie griff vor allem kleine bis mittelständische Unternehmen und Institutionen aus den Branchen Produktion, Entwicklung, Bildung, Finanzdienstleistung und Transport an. Die Angriffe fanden zunächst vor allem in den USA statt.
Die Ermittlungen führten jedoch auch zu 43 geschädigte Unternehmen in anderen Ländern - von Argentinien und Australien über Belgien, Brasilien, Honduras, Indien, Kanada, Kroatien, Peru, Polen, dem Vereinigten Königreich bis in die Vereinigten Arabischen Emiraten. Auch Firmen aus Deutschland wurden angegriffen. Vier deutsche Firmen konnten durch die Arbeit von BLKA und BKA rechtzeitig vor einer bevorstehenden Verschlüsselung gewarnt werden.
Die Ermittler nehmen an, dass es eine Vielzahl weiterer angegriffener Unternehmen gibt, die ihnen nur noch nicht bekannt sind. Unrühmlich aufgefallen ist die Gruppierung Radar/Dispossessor zuletzt zudem dadurch, dass sie sich verstärkt auf Angriffe auf Krankenhäuser verlegt hat.
"Attacken von hochprofessionellen Netzwerken, die mit ihren erpresserischen Schadprogrammen auch vor Krankenhäusern nicht Halt machen, müssen mit allem Nachdruck strafrechtlich verfolgt werden", betont Wolfgang Gründler, Generalstaatsanwalt in Bamberg. Die erfolgreiche Zerschlagung der kriminellen Infrastruktur von Radar/Dispossessor belege die Entschlossenheit, mit die Behörden gemeinsam mit ausländischen Partnern Ransomware-Akteure rund um den Globus bekämpfen.
So arbeitete die Ransomware-Gruppe "Radar/Dispossessor"
Die Ransomware-Gruppe machte sich - wie viele andere auch - ungepatchte Rechner, schwache Passwörter und fehlende Zwei-Faktor-Authentifizierungen zu nutze. "Hatten die Täter erstmal einen Zugang erlangt, verschafften sie sich höherwertige Administratorenrechte in den Computersystemen und nutzen diese, um alle erreichbaren Dateien im System auszuleiten. Anschließend wurde die eigentliche Ransomware zur Verschlüsselung eingesetzt. In der Folge konnten die Unternehmen auf ihre eigenen Daten nicht mehr zugreifen", berichtet die Generalstaatsanwaltschaft Bamberg.
Meldeten sich die Unternehmen nicht, wurden die Verantwortlichen von der Gruppe mit E-Mails oder Telefonanrufen kontaktiert. Teilweise wurden auch Links zu Videos versendet, in denen die zuvor gestohlenen Dateien präsentiert wurden, um den Erpressungsdruck zu erhöhen und die Zahlungsbereitschaft zu steigern. Außerdem veröffentlichte die Gruppierung ähnlich wie zuvor die "Lockbit-Gruppe" die Kompromittierung auf einer eigenen Leakseite und drohte dort mit einem mit Countdown mit der Veröffentlichung von vertraulichen Daten.
Mehr Ermittlungserfolge deutscher Behörden
BKA-schaltet „Nemesis Market“ ab
BKA schaltet „AegisTools.pw“ ab