RansomwareHackerangriffeCyberkriminalität

Festgenommen: Deutsche Polizei identifiziert Kopf der REvil-Ransomware-Bande

Festgenommen: Deutsche Polizei identifiziert Kopf der REvil-Ransomware-Bande
Zusammenfassung

Die deutschen Behörden haben einen bedeutsamen Erfolg im Kampf gegen internationale Cyberkriminalität erzielt: Das Bundeskriminalamt (BKA) hat einen russischen Staatsangehörigen als Anführer der REvil- und GandCrab-Ransomware-Operationen enttarnt. Daniil Maksimovich Shchukin, 31 Jahre alt, soll zwischen 2019 und 2021 zwei der gefährlichsten Ransomware-Operationen der Welt geleitet haben. Der Vorwurf wiegt schwer: Shchukin und seine Komplizen führten über 130 Erpressungsversuche durch, bei denen Opfer insgesamt über zwei Millionen Dollar Lösegeld zahlten. Der Gesamtschaden wird auf über 40 Millionen Dollar geschätzt. Besonders bemerkenswert ist die Tatsache, dass die Täter sowohl Unternehmen als auch Behörden ins Visier nahmen. Für deutsche Unternehmen und öffentliche Institutionen ist dies relevant, da REvil und GandCrab auch hierzulande zahlreiche Opfer forderten. Die Fahndungsmitteilung des BKA, die erstmals öffentlich den Namen des mutmaßlichen Anführers nennt, zeigt die Fortschritte internationaler Ermittlungen, unterstreicht aber auch die anhaltende Bedrohung durch russische Cyberkriminelle im Dienste dieser Ransomware-Syndikate.

Shchukin war nicht allein: Zusammen mit mindestens einem weiteren Co-Verschwörer, dem russischen Staatsangehörigen Anatoly Sergeevitsch Kravchuk (43 Jahre alt), richtete die Bande ihre Angriffe systematisch gegen Unternehmen und öffentliche Institutionen aus. Die BKA geht davon aus, dass Shchukin sich derzeit in Russland aufhält.

Die Geschichte dieser Ransomware-Operationen ist bemerkenswert. GandCrab tauchte Anfang 2018 auf und betrieb das erste erfolgreiche Ransomware-as-a-Service-(RaaS)-Modell – ein Geschäftsmodell, bei dem Cyberkriminelle anderen Hackern ihre Schadsoftware gegen Provision zur Verfügung stellen. Die Gründer prahlt 2019 damit, über 150 Millionen Dollar pro Jahr zu verdienen, bevor sie den Betrieb einstellten.

REvil, auch unter dem Namen Sodinokibi bekannt, übernahm praktisch unmittelbar den angestammten Platz von GandCrab und wurde schnell zu dessen Nachfolger. Die Ransomware-Gruppe wurde berüchtigt für massive Anschläge auf kritische Infrastrukturen weltweit. Im späten 2021 gelang es Strafverfolgungsbehörden, REvils Server zu beschlagnahmen und sieben mit beiden Operationen verbundene Personen zu verhaften.

Dass Shchukin nun enttarnt wurde, verdankt sich intensiver internationaler Zusammenarbeit. Im Januar 2022 kündigte die russische Regierung die Verhaftung weiterer REvil-Zugehöriger an. 2024 wurden vier Gruppenmitglieder zu Gefängnisstrafen verurteilt. Die US-Behörden erwähnten Shchukin bereits 2023 in einer Beschwerde bezüglich der Beschlagnahme illegal erlangter Kryptowährungen aus REvil-Operationen.

Shchukin ist unter mehreren Aliasen bekannt: Oneiilk2, Oneillk2, Oneillk22, und UNKN. Diese Pseudonyme waren Ermittlern bereits bekannt – er wurde in der Vergangenheit bereits als REvil-Anführer identifiziert und diskutiert, auch auf Sicherheitskonferenzen in Deutschland.

Für deutsche Cyber-Sicherheit bedeutet diese Enttarnung: Die Strafverfolgung schläft nicht. Parallel zu Ermittlungen in den USA und Russland arbeitet auch Deutschland aktiv an der Aufklärung dieser Hochkriminalität. Unternehmen sollten dies als Mahnung verstehen: Starke Backups, Netzwerksegmentierung und Mitarbeiterschulung bleiben essenziell gegen Ransomware-Bedrohungen.

Ähnliche Artikel