RansomwareMalwareHackerangriffe

Russischer Hacker für Botnet-gesteuerte Ransomware-Anschläge zu zwei Jahren Haft verurteilt

Russischer Hacker für Botnet-gesteuerte Ransomware-Anschläge zu zwei Jahren Haft verurteilt
Zusammenfassung

Ein russischer Hacker ist zu zwei Jahren Haft verurteilt worden, weil er ein Botnetz verwaltete, das für Ransomware-Anschläge gegen amerikanische Unternehmen genutzt wurde. Ilya Angelov, ein 40-jähriger Mann aus Tolyatti, war Mitmanager der cyberkriminellen Gruppe TA551, die zwischen 2017 und 2021 tätig war. Die Gruppe baute ein Netzwerk aus gehackten Computern auf, das sie an andere Kriminelle verkaufte – insbesondere an Ransomware-Gangs wie BitPaymer und IcedID. Über diese Botnetze wurden mindestens 72 amerikanische Unternehmen infiziert und Erpressungsgelder in Höhe von über 14 Millionen Dollar erpresst. Die Verurteilung ist bedeutsam, da sie zeigt, dass die USA verstärkt gegen die Architekten von Botnetzen vorgehen, nicht nur gegen die Angreifer selbst. Für deutsche Nutzer und Unternehmen ist diese Entwicklung relevant, da TA551 international tätig war und seine Malware-Verbreitungstaktiken auch hierzulande zum Einsatz kamen. Deutsche Firmen könnten von solchen Botnetz-Operationen betroffen sein, und die Verurteilung unterstreicht die Notwendigkeit verbesserter E-Mail-Sicherheit und Mitarbeiterschulung gegen Phishing-Anschläge.

Ilya Angelov, der unter den Online-Pseudonymen “milan” und “okart” bekannt war, leitete gemeinsam mit einem Co-Manager die TA551-Gruppe, die unter mehreren Namen in der Cybersicherheitsszene bekannt ist – darunter ATK236, G0127, Gold Cabin und Monster Libra. Das Geschäftsmodell der Gruppe war dabei bemerkenswert effizient und brutal: Angelov und sein Partner bauten ein Netzwerk aus kompromittierten Computern auf, indem sie Malware-infizierte Dateien per Spam-E-Mail verbreiteten. Diese sogenannten “Bots” verkauften sie anschließend an andere Cyberkriminelle weiter – ein Konzept, das zum Geschäftsmodell einer ganzen Branche wurde.

Zwischen August 2018 und Dezember 2019 stellte TA551 der BitPaymer-Ransomware-Gruppe Zugang zu seinem Botnet bereit. Die Folge: 72 amerikanische Unternehmen wurden infiziert, was zu Erpressungsforderungen von über 14 Millionen Dollar führte. Doch damit nicht genug. Auch die IcedID-Malware-Betreiber zahlten Angelov’s Gruppe über eine Million Dollar, um Zugang zu dem Netzwerk zu erhalten und Ransomware zu verbreiten. Diese Partnerschaft hielt bis August 2021 an.

Besonders bemerkenswert ist die technische Raffinesse der Anschläge. Mandiant-Forscher dokumentierten 2021, wie TA551 mit Phishing-E-Mails arbeitete, die passwortgeschützte Archive enthielten. Diese täuschten Empfänger, um makroaktivierte Word-Dokumente zu öffnen. Darüber wurden zwei Malware-Komponenten namens MOUSEISLAND und PHOTOLOADER installiert – letztere ermöglichte schließlich die Verbreitung von IcedID.

Die Vernetzung der TA551-Gruppe mit anderen Ransomware-Banden zeigt ein wachsendes Ökosystem organisierter Cyberkriminalität. Im November 2021 kooperierte TA551 mit den TrickBot-Operatoren, um Conti-Ransomware zu verbreiten. Gleichzeitig unterstützten sie auch die Lockean-Ransomware-Gang, nachdem die Emotet-Botnet-Infrastruktur durch Strafverfolgung zerstört worden war.

US-Staatsanwalt Jerome F. Gorgon Jr. kommentierte den Fall deutlich: “Ausländische Cyberkriminelle wie dieser Angeklagte zielen auf amerikanische Bürger und Konzerne ab. Ihre Methoden werden immer raffinierter. Aber ihre Motivation bleibt gleich – uns auszubeuten und zu schaden.”

Der Fall ist nicht isoliert. Parallel wurde ein 26-jähriger Russe namens Aleksei Olegovich Volkov zu knapp sieben Jahren Haft verurteilt, weil er als Initial-Access-Broker für Yanluowang-Ransomware-Anschläge agierte. Für deutsche Unternehmen unterstreichen solche Urteile die Notwendigkeit robuster Cybersicherheitsmaßnahmen.

Ähnliche Artikel