RansomwareCyberkriminalitätHackerangriffe

Deutsche Ermittler identifizieren zwei Verdächtige der REvil-Ransomware-Bande

Deutsche Ermittler identifizieren zwei Verdächtige der REvil-Ransomware-Bande
Zusammenfassung

Deutschlands Behörden haben zwei verdächtige Personen identifiziert, die hinter der mittlerweile aufgelösten Ransomware-Gang REvil stecken sollen. Bei den Verdächtigen handelt es sich um den 31-jährigen russischen Staatsangehörigen Daniil Shchukin und den 43-jährigen in der Ukraine geborenen Anatoly Kravchuk, der als Entwickler für die Gruppe tätig gewesen sein soll. Die Entdeckung durch die Bundeskriminalamt (BKA) ist bedeutsam, da REvil zu einer der aggressivsten Ransomware-Organisationen weltweit aufgestiegen war und prominente Ziele wie High-Profile-Kanzleien sowie große Unternehmen attackierte. Nach Angaben der Ermittler waren die beiden Männer an etwa zwei Dutzend Ransomware-Angriffen beteiligt, die Erpressungsgelder in Höhe von knapp 2,3 Millionen Dollar generierten, während der wirtschaftliche Schaden über 40 Millionen Dollar betrug. Für deutsche Nutzer, Unternehmen und Behörden ist diese Entwicklung erheblich, da sie zeigt, dass Strafverfolgungsbehörden aktiv gegen internationale Cyberkriminelle vorgehen. Gleichzeitig verdeutlicht der Fall die anhaltende Bedrohung durch russisch assoziierte Cyberkriminelle und unterstreicht die Notwendigkeit verstärkter Cybersicherheitsmaßnahmen sowie internationaler Zusammenarbeit im Kampf gegen organisierte Ransomware-Operationen.

Die Ermittlungen des Bundeskriminalamtes werfen ein neues Licht auf die Strukturen einer der gefährlichsten Ransomware-Organisationen der vergangenen Jahre. Daniil Shchukin, unter dem Alias UNKN bekannt, soll eine zentrale Rolle bei der Leitung von GandCrab und dessen Nachfolger REvil gespielt haben. Sein Komplize Anatoly Kravchuk fungierte den Ermittlern zufolge als Entwickler für die Gruppe.

Both Ransomware-Operationen funktionierten nach dem Modell von Ransomware-as-a-Service (RaaS). Dabei stellten die Köpfe wie Shchukin die Verschlüsselungssoftware zur Verfügung, während sogenannte Affiliates diese einsetzten und die Gewinne teilten. GandCrab startete 2018 und verbreitete sich zunächst über Spam-Mails mit bösartigen Anhängen. Die Operation wurde später als REvil, auch unter dem Namen Sodinokibi bekannt, zu einer globalen Bedrohung.

REvil zielte auf größere Organisationen ab und forderte erheblich höhere Lösegelder. Die Bande wurde 2021 zerschlagen, doch nicht bevor sie prominente Opfer wie die Anwaltskanzlei von Lady Gaga, den ehemaligen US-Präsidenten Donald Trump und den Softwarekonzern Kaseya angegriffen hatte. Die Taktik war perfide: Systeme wurden verschlüsselt, gleichzeitig wurden Daten gestohlen und dessen Veröffentlichung als Druckmittel angedroht.

Shchukin gab in einem Interview gegenüber Recorded Future News Einblicke in seinen Aufstieg in der Cyberkriminalität. Der heute als Millionär lebende Mann beschrieb eine Kindheit in Armut, was seine kriminelle Karriere verständlich machen könnte, aber nicht rechtfertigt.

Die deutschen Behörden gehen davon aus, dass sich beide Verdächtigen derzeit in Russland aufhalten. Trotz jahrelanger internationaler Ermittlungsanstrengungen bleiben viele REvil-Mitglieder der westlichen Justiz unerreichbar. Russland verhaftete 2022 zwar 14 mutmaßliche REvil-Mitglieder, doch die juristischen Verfahren verlaufen schleppend. Nur acht Verdächtige sind bislang vor Gericht in Moskau erschienen.

Die Entdeckung durch deutsche Ermittler reiht sich in ein breiteres europäisches Vorgehen gegen russische Ransomware-Netzwerke ein und signalisiert wachsende Sicherheitsbemühungen.

Ähnliche Artikel