Share
Beitragsbild zu Internationale Zusammenarbeit führt zur Zerschlagung einer Ransomware-Gruppe in der Ukraine inmitten des anhaltenden Krieges

Internationale Zusammenarbeit führt zur Zerschlagung einer Ransomware-Gruppe in der Ukraine inmitten des anhaltenden Krieges

Die Ransomware-Bande steckt hinter hochkarätigen Angriffen, die Verluste in Höhe von mehreren hundert Millionen Euro verursacht haben

In einer beispiellosen Aktion haben sich Strafverfolgungs- und Justizbehörden aus sieben Ländern mit Europol und Eurojust zusammengetan, um in der Ukraine Schlüsselfiguren zu entlarven und festzunehmen, die hinter bedeutenden Ransomware-Operationen stecken, die in der ganzen Welt Schaden anrichten. Die Operation findet zu einem kritischen Zeitpunkt statt, da das Land mit den Herausforderungen der militärischen Aggression Russlands gegen sein Territorium konfrontiert ist.

Am 21. November wurden 30 Häuser in den Regionen Kiew, Tscherkassy, Riwne und Winnyzja durchsucht, was zur Verhaftung des 32-jährigen Anführers führte. Vier der aktivsten Komplizen des Rädelsführers wurden ebenfalls verhaftet.

Mehr als 20 Ermittler aus Norwegen, Frankreich, Deutschland und den Vereinigten Staaten wurden nach Kiew entsandt, um die ukrainische Nationalpolizei bei ihren Ermittlungsmaßnahmen zu unterstützen. In der Europol-Zentrale in den Niederlanden wurde eine virtuelle Kommandozentrale eingerichtet, um die bei den Hausdurchsuchungen in der Ukraine beschlagnahmten Daten sofort zu analysieren.

Diese jüngste Aktion folgt auf eine erste Serie von Verhaftungen im Jahr 2021 im Rahmen der gleichen Ermittlungen. Seitdem wurden bei Europol und in Norwegen mehrere operative Sprints organisiert, um die 2021 in der Ukraine sichergestellten Geräte forensisch zu analysieren. Diese kriminaltechnische Nachbereitung erleichterte die Identifizierung der Verdächtigen, die bei der Aktion letzte Woche in Kiew ins Visier genommen wurden.

Gefährlich, unentdeckt und vielseitig

Die Personen, gegen die ermittelt wird, sollen Teil eines Netzwerks sein, das für eine Reihe aufsehenerregender Ransomware-Angriffe auf Organisationen in 71 Ländern verantwortlich ist.
Diese Cyber-Akteure sind dafür bekannt, dass sie gezielt große Unternehmen angreifen und so deren Geschäfte zum Erliegen bringen. Sie setzten unter anderem LockerGoga, MegaCortex, HIVE und Dharma Ransomware ein, um ihre Angriffe auszuführen.

Die Verdächtigen hatten unterschiedliche Rollen in dieser kriminellen Organisation. Einige von ihnen sollen an der Kompromittierung der IT-Netzwerke ihrer Ziele beteiligt gewesen sein, während andere im Verdacht stehen, für das Waschen von Kryptowährungszahlungen zuständig zu sein, die von den Opfern für die Entschlüsselung ihrer Dateien geleistet wurden.

Die für den Einbruch in die Netzwerke verantwortlichen Täter setzten dabei Techniken wie Brute-Force-Angriffe, SQL-Injektionen und das Versenden von Phishing-E-Mails mit bösartigen Anhängen ein, um Benutzernamen und Kennwörter zu stehlen.

Sobald sie in die Netzwerke eingedrungen waren, blieben die Angreifer unentdeckt und verschafften sich mit Hilfe von Tools wie TrickBot-Malware, Cobalt Strike und PowerShell Empire zusätzlichen Zugang, um so viele Systeme wie möglich zu kompromittieren, bevor sie Ransomware-Angriffe auslösten.

Die Ermittlungen ergaben, dass die Täter über 250 Server großer Unternehmen verschlüsselten, wodurch ein Schaden von mehreren hundert Millionen Euro entstand.

Internationale Zusammenarbeit

Auf Initiative der französischen Behörden wurde im September 2019 eine gemeinsame Ermittlungsgruppe (GEG) zwischen Norwegen, Frankreich, dem Vereinigten Königreich und der Ukraine eingerichtet, die von Eurojust finanziell und von beiden Agenturen unterstützt wird. Die Partner der GEG arbeiten seither parallel zu den unabhängigen Ermittlungen der niederländischen, deutschen, schweizerischen und US-amerikanischen Behörden eng zusammen, um die Bedrohungsakteure in der Ukraine ausfindig zu machen und sie vor Gericht zu stellen.

Diese internationale Zusammenarbeit wurde trotz der Herausforderungen durch den anhaltenden Krieg in der Ukraine fortgesetzt und ist ungebrochen.

Ein ukrainischer Cyberpolizist wurde zunächst für zwei Monate zu Europol abgeordnet, um die erste Phase der Aktion vorzubereiten, bevor er dauerhaft zu Europol versetzt wurde, um die Zusammenarbeit der Strafverfolgungsbehörden in diesem Bereich zu erleichtern.

Von Beginn der Ermittlungen an war das Europäische Zentrum für Cyberkriminalität (EC3) von Europol Gastgeber operativer Sitzungen und leistete Unterstützung in den Bereichen digitale Forensik, Kryptowährung und Malware und erleichterte den Informationsaustausch im Rahmen der Joint Cybercrime Action Taskforce (J-CAT), die in der Europol-Zentrale untergebracht ist.
Eurojust war Gastgeber von zwölf Koordinierungssitzungen, um die Kommunikation und die justizielle Zusammenarbeit zwischen den beteiligten Behörden zu erleichtern.

Die im Rahmen dieser Untersuchung durchgeführte forensische Analyse ermöglichte es den Schweizer Behörden auch, zusammen mit den No More Ransom-Partnern und Bitdefender Entschlüsselungstools für die Ransomware-Varianten LockerGoga und MegaCortex zu entwickeln. Diese Entschlüsselungs-Tools wurden kostenlos zur Verfügung gestellt auf: www.nomoreransom.org.

Beteiligte Behörden:

  • Norway: National Criminal Investigation Service (Kripos)
  • France: Public Prosecutor’s Office of Paris, National Police (Police Nationale – OCLCTIC)
  • Netherlands: National Police (Politie), National Public Prosecution Service (Landelijk Parket, Openbaar Ministerie)
  • Ukraine: Prosecutor General’s Office (Офіс Генерального прокурора), National Police of Ukraine (Національна поліція України)
  • Germany: Public Prosecutor’s Office of Stuttgart, Police Headquarters Reutlingen (Polizeipräsidium Reutlingen) CID Esslingen
  • Switzerland: Swiss Federal Office of Police (fedpol), Polizei Basel-Landschaft, Public Prosecutor’s Office of the canton of Zurich, Zurich Cantonal Police
  • United States: United States Secret Service (USSS), Federal Bureau of Investigation (FBI)
  • Europol: European Cybercrime Centre (EC3)
  • Eurojust