Berüchtigte Ransomware-Gruppe: Deutsche Ermittler enttarnen mutmaßlichen »REvil«-Hintermann

Im Internet prahlt er mit einem Leben im Luxus, aber wenn er sein Land verlassen sollte, könnte er verhaftet werden: Berichten zufolge beobachtet das LKA Baden-Württemberg einen Erpresser seit Monaten.

Eine beleuchtete Notebooktastatur, aufgenommen mit langer Belichtungszeit (Symbolbild)

Foto: Mohssen Assanimoghaddam / dpa

Laut Informationen des Bayerischen Rundfunks (BR)  und von »Zeit Online«  haben Strafverfolger des Landeskriminalamts Baden-Württemberg einen mutmaßlichen Drahtzieher hinter der Ransomware REvil ermittelt. Die Software ist eines der berüchtigtsten Programme zur Verschlüsselung fremder Daten und der dann folgenden Erpressung der Opfer. In Deutschland seien unter anderem das Staatstheater Stuttgart, mehrere mittelständische Unternehmen und auch Krankenhäuser davon betroffen.

Bei dem Tatverdächtigen Nikolay K. soll es sich um einen russischen Staatsbürger handeln, der in einer Großstadt im Süden des Landes lebt. Er soll nach Ansicht der Ermittler »zweifelsfrei« der Kerngruppe von REvil und deren mutmaßlichem Vorgänger Gandcrab angehören. Die Gruppe vermietet ihre Erpressersoftware an andere Kriminelle und kassiert dafür Gebühren – »Ransomware as a service« heißt das Geschäftsmodell.

Reporter des BR und von »Zeit Online« haben ihren Berichten zufolge Anhaltspunkte dafür gefunden, dass der Verdächtige Geld erhalten hat, das direkt aus Ransomware-Fällen stammen soll. Der Name, den K. in sozialen Netzwerken benutzt, lasse sich googeln und führe zu einer E-Mail-Adresse, mit der mehrere Websites registriert wurden. Mit diesen wiederum seien verschiedene russische Handynummern verknüpft, von denen eine zu einem Telegram-Account führt, auf dem eine Bitcoin-Adresse veröffentlicht wurde. Bitcoins im Wert von mehr als 400.000 Euro wurden darauf eingezahlt. Experten eines Unternehmens, das sich auf Blockchain-Analysen spezialisiert hat, schreiben diese Einzahlungen mit hoher Wahrscheinlichkeit Erpressungen zu.

In Onlinenetzwerken habe sich K. als Händler von Kryptowährungen mit luxuriösem Lebensstil präsentiert, etwa mit teuren Sportwagen, Designerkleidung und Luxusreisen. Solange er sich in Russland aufhält, könne er allerdings nicht von deutschen Strafverfolgern festgenommen werden.

Weder die ermittelnden Behörden – das Bundeskriminalamt und das Landeskriminalamt Baden-Württemberg – noch die Staatsanwaltschaft Stuttgart wollten sich auf Nachfrage der Medien dazu äußern. Auch der Tatverdächtige habe nicht auf Anfragen reagiert.

Laut Reuters  haben US-Behörden zusammen mit ausländischen Partnern kürzlich die technische Infrastruktur von REvil gehackt. Die Website der Gruppe ist seither offline. Offiziell bestätigt wurde der Erfolg der Behörden noch nicht.

pbe/AFP