Internationale Polizeiaktion in 17 Ländern Ermittler fassen mehrere mutmaßliche Cyber-Erpresser

Sie sollen Zehntausende Computer infiziert, Millionensummen erpresst haben. Nun wurden die mutmaßlichen Hintermänner mehrerer Ransomware-Attacken aufgespürt, darunter die auf den IT-Dienstleister Kaseya.
Angriff mit Ransomware (Symbolbild)

Angriff mit Ransomware (Symbolbild)

Foto:

Stuart Miles / imago images

Internationalen Ermittlern ist ein Schlag gegen Kriminelle gelungen, die für Tausende Ransomware-Attacken auf Organisationen und Unternehmen verantwortlich sein sollen. Das US-Justizministerium teilte am Montag in Washington mit , in Polen sei ein Ukrainer gefasst worden, der im Verdacht stehe, unter anderem hinter der großen Attacke auf den amerikanischen IT-Dienstleister Kaseya zu stecken.

Über eine Schwachstelle bei Kaseya waren Anfang Juli Hunderte Unternehmen in den USA und anderen Ländern mit Erpressersoftware angegriffen worden. Die Polizeibehörde Europol teilte in Den Haag mit , in Rumänien seien zwei Menschen festgenommen worden, die mit der gleichen Software Cyberangriffe durchgeführt haben sollen. Die Festnahmen seien Teil einer internationalen Operation gewesen.

US-Präsident Joe Biden sagte, die Vereinigten Staaten gingen gemeinsam mit internationalen Partnern mit aller Kraft gegen Cyberkriminelle vor. Es gebe noch viel zu tun, doch die USA hätten bereits wichtige Schritte unternommen, um kritische Infrastrukturen besser zu schützen, Kriminelle zur Rechenschaft zu ziehen und das Ökosystem der Erpresser zu zerstören.

Laut Europol waren 17 Länder in die Ermittlungen eingebunden, darunter die USA, Deutschland, Frankreich, die Niederlande, Polen, Rumänien und Kanada. In Deutschland war nach Angaben der europäischen Justizbehörde Eurojust  die Staatsanwaltschaft Stuttgart federführend. Über mehrere Monate seien in verschiedenen Ländern insgesamt sieben Verdächtige festgenommen worden, teilte Europol mit. Sie stünden im Verdacht, bei sogenannten Ransomware-Attacken, also Angriffen mit Erpressersoftware, rund 7000 Ziele angegriffen und Millionensummen erbeutet zu haben.

Erpressersoftware zum Mieten

Bei derartigen Angriffen verschlüsseln die Angreifer mit heimlich in die Systeme eingeschleuster Software die Dateien auf den Computern der Opfer. Im Anschluss wird für die Freigabe beziehungsweise die Herausgabe des Schlüssels ein Lösegeld verlangt. Die Attacken der Festgenommenen richteten sich nach Angaben von Eurojust gegen Firmen, aber auch Kommunen, Krankenhäuser, Justiz, Schulen und Universitäten. Fünf der Festgenommenen hätten Angriffe mit der Ransomware REvil (alias Sodinokibi) verübt, die von ihren Entwicklern vermietet wird.

Die gleichnamige Gruppe von Cyberkriminellen hatte in den vergangenen Monaten mit großen Attacken für Aufsehen gesorgt. Beim Kaseya-Angriff hatte die Gruppe REvil auf ihrer Website im Darknet 70 Millionen Dollar für einen Generalschlüssel zu allen lahmgelegten Computern verlangt. Da viele der betroffenen Kaseya-Kunden selbst IT-Dienstleister für andere sind, reichten die Auswirkungen der Attacke zum Beispiel bis nach Schweden, wo die Supermarktkette Coop Hunderte Läden wegen nicht funktionierender Kassensysteme nicht öffnen konnte.

175.000 Computer infiziert

Wenige Wochen zuvor hatte REvil-Software mehrere Werke des weltgrößten Fleischkonzerns JBS lahmgelegt – ebenfalls mit internationalen Auswirkungen. Die Gruppe kassierte damals vom Unternehmen elf Millionen Dollar Lösegeld in Kryptowährungen.

US-Justizminister Merrick Garland sagte in Washington, bislang sei REvil-Software bei Attacken auf etwa 175.000 Computer weltweit eingeschleust worden, mindestens 200 Millionen Dollar Lösegeld seien nach Angriffen mit der Software gezahlt worden. Der im Zusammenhang mit REvil festgenommene 22 Jahre alte Ukrainer sei auf Ersuchen der USA bei der Einreise nach Polen gefasst worden. Seine Auslieferung in die Vereinigten Staaten sei beantragt.

Das US-Justizministerium habe außerdem 6,1 Millionen Dollar beschlagnahmt, die ein anderer Krimineller bei Ransomware-Attacken mit der REvil-Software erbeutet haben soll, sagte Garland. Der 28 Jahre alte Russe soll demnach 3000 Ziele mit der Erpressersoftware angegriffen haben.

Belohnung in Millionenhöhe

Das US-Außenministerium lobte am Montag eine Belohnung in Millionenhöhe aus für Hinweise, die zur Identifizierung oder Festsetzung von Führungsfiguren der Gruppe REvil führen – oder von all jenen, die in Attacken mit der Software verwickelt sind.

Eine ähnliche Belohnung hatte die US-Regierung vor wenigen Tagen mit Blick auf die Hackergruppe DarkSide ausgeschrieben, die nach Einschätzung der USA für die Cyberattacke auf die größte Benzinpipeline Amerikas im Frühjahr verantwortlich war. Infolge der Attacke wurde der Betrieb der Pipeline, durch die etwa 45 Prozent aller an der US-Ostküste verbrauchten Kraftstoffe laufen, zeitweise komplett eingestellt. In Teilen des Landes kam es zu Benzin-Engpässen. Die Hacker waren damals in das Computer-Netzwerk des Pipelinebetreibers eingedrungen und hatten ein Lösegeld in Millionenhöhe gefordert, das das Unternehmen auch zahlte.

mak/dpa
Die Wiedergabe wurde unterbrochen.