In Zusammenarbeit mit der Bezirksstaatsanwaltschaft und der Kriminalpolizeidirektion Bratislava konnte von deutschen Behörden ein 44-jähriger Ukrainer in der Slowakei festgenommen werden. Er steht unter dringendem Verdacht, der Gruppierung hinter der Malware "GandCrab" anzugehören.
Die Ransomware "GandCrab" war einem Bericht von Google und VirusTotal zufolge (PDF) 2020 sogar einmal die am häufigsten eingesetzte Erpresser-Software. "Der wirtschaftliche Schaden, der durch die Verschlüsselungsangriffe dieser Gruppierung weltweit entstanden ist, wird auf mehrere 100 Millionen Euro geschätzt", teilt das LKA Baden-Württemberg mit. In Deutschland seien über 80 Fälle bekannt, die entweder "GandCrab" oder der Nachfolgegruppierung "REvil" zuzuordnen seien, bei denen ein wirtschaftlicher Gesamtschaden von knapp 33 Millionen Euro entstanden sei.
300 Unternehmen rechtzeitig gewarnt
Im Zuge der Ermittlungen habe das Landeskriminalamt Baden-Württemberg 300 Unternehmen rechtzeitig warnen und dadurch die Verschlüsselung ihrer Daten verhindern können. Bei mindestens 17 dieser Unternehmen habe die Verschlüsselung der Daten unmittelbar bevorgestanden.
Dem jetzt festgenommene 44-Jährigen werden gewerbsmäßige Erpressung und Computersabotage vorgeworfen. Er steht unter anderem im Verdacht, im Frühjahr 2019 die Daten von 22 deutschen Unternehmen und Einrichtungen mit einer Ransomware verschlüsselt zu haben, um Lösegeld zu fordern. Zu den Betroffenen gehörten Auch das Württembergische Staatstheater Stuttgart sowie mehrere Hersteller von medizinischen Produkten gehörten zu den Betroffenen dieser Serie von Cyberangriffen.
Der Mann habe sich dazu aus der Ferne illegalen Zugang in die Computernetzwerke verschafft und mit Hilfe der Schadsoftware die Daten verschlüsselt. Im Anschluss wurden für die Entschlüsselungen Zahlungen von jeweils bis zu 15.000 Dollar in digitalen Währungen verlangt. Allein bei den in Baden-Württemberg geschädigten 22 Unternehmen und Einrichtungen entstand durch die Datenverschlüsselung und den Systemausfall ein wirtschaftlicher Schaden von über 2,4 Millionen Euro.
Weitere GandCrab-Mitglieder identifiziert
Bei der Durchsuchung mehrerer Objekte im Zuge der Festnahme des Beschuldigten in der Slowakei wurden laut Polizei zahlreiche digitale Beweismittel sichergestellt. Der Tatverdächtige wurde am 27. September 2024 nach Deutschland ausgeliefert und befindet sich seitdem in Untersuchungshaft.
Außerdem seien zwei weitere mutmaßliche Hauptakteure der "GandCrab"-Gruppierung sowie der Nachfolgegruppierung "REvil" identifiziert worden. "Bei den beiden mit internationalen Haftbefehlen gesuchten Männern mit russischer Staatsangehörigkeit handelt es sich um den mutmaßlichen Kopf der Gruppierungen sowie den mutmaßlichen Entwickler der Erpressungssoftware", erklärt das LKA Baden-Württemberg.
Bereits zuvor seien mehrere mutmaßliche Mitglieder der beiden Gruppierungen durch Behörden anderer Länder festgenommen worden. Eine der Festnahmen mündete im Mai in die Verurteilung zu einer mehrjährigen Haftstrafe in den USA. Zudem konnten Teile der Infrastruktur der Cyberkriminellen lahmgelegt sowie Entschlüsselungsprogramme für GandCrab und REvil im entwickelt werden.
Die Ermittlungen wurden im engen Austausch und in Zusammenarbeit mit dem FBI, dem US-Secret-Service, der Bezirksstaatsanwaltschaft und der Kriminalpolizeidirektion Bratislava, der rumänischen Staatsanwaltschaft und der Polizeidirektion zur Bekämpfung der organisierten Kriminalität in Bukarest, der französischen Polizei und der Staatsanwaltschaft in Paris (JUNALCO), der Staatsanwaltschaft II des Kantons Zürich und der Kantonspolizei Zürich, der High Tech Crime Unit der Nationalpolizei der Niederlande, der kanadischen Polizei sowie der Einheit für Cyberkriminalität der Metropolitan Police in London durchgeführt.
Ransomware-Gruppe Lockbit ausgehoben
Bayerische Behörden zerschlagen Ransomware-Gruppe