Europol gelingt Schlag gegen zwei hochrangige Ransomware-Gruppierungen

Veröffentlicht am von

Am 28. Februar 2023 gingen das Landeskriminalamt Nordrhein-Westfalen und die ukrainische Nationalpolizei (Націона́льна полі́ція Украї́ни) mit Unterstützung von Europol, der niederländischen Polizei (Politie) und dem United States Federal Bureau of Investigations gegen mutmaßliche Kernmitglieder der kriminellen Gruppe vor, die für die Durchführung groß angelegter Cyberangriffe mit der Ransomware DoppelPaymer verantwortlich ist.

1 Modalfahrzeug mit Europol und LKA.jpg
Deutschland und die Ukraine haben zwei hochrangige Ransomware-Ziele getroffen. ©Europol

Diese Ransomware tauchte 2019 auf, als Cyberkriminelle begannen, sie für Angriffe auf Organisationen, kritische Infrastrukturen und Unternehmen einzusetzen. DoppelPaymer basiert auf der BitPaymer-Ransomware und gehört zur Dridex-Malware-Familie. Es verwendet ein einzigartiges Tool, das in der Lage ist, Verteidigungsmechanismen zu kompromittieren, indem es die sicherheitsrelevanten Prozesse der angegriffenen Systeme beendet. Die DoppelPaymer-Angriffe wurden durch die weit verbreitete EMOTET-Malware ermöglicht.

Die Ransomware wurde über verschiedene Kanäle verbreitet, unter anderem über Phishing- und Spam-E-Mails mit angehängten Dokumenten, die bösartigen Code – entweder JavaScript oder VBScript – enthielten. Die kriminelle Gruppe, die hinter dieser Ransomware steckt, setzte auf ein doppeltes Erpressungsschema und nutzte eine von den kriminellen Akteuren Anfang 2020 eingerichtete Leak-Website. Den deutschen Behörden sind 37 Opfer dieser Ransomware-Gruppe bekannt. Einer der schwersten Angriffe richtete sich gegen das Universitätsklinikum in Düsseldorf. In den USA haben die Opfer zwischen Mai 2019 und März 2021 mindestens 40 Millionen Euro gezahlt.

Bei der gleichzeitigen Aktion durchsuchten deutsche Beamte das Haus eines deutschen Staatsangehörigen, von dem angenommen wird, dass er eine wichtige Rolle in der DoppelPaymer-Ransomware-Gruppe gespielt hat. Die Ermittler analysieren derzeit die beschlagnahmte Ausrüstung, um die genaue Rolle des Verdächtigen in der Struktur der Ransomware-Gruppe zu ermitteln. Gleichzeitig verhörten ukrainische Polizeibeamte trotz der derzeit äußerst schwierigen Sicherheitslage in der Ukraine aufgrund des Einmarsches Russlands einen ukrainischen Staatsangehörigen, bei dem es sich ebenfalls um ein Mitglied des Kerns der DoppelPaymer-Gruppe handeln soll. Die ukrainischen Beamten durchsuchten zwei Orte, einen in Kiew und einen in Charkiw. Bei den Durchsuchungen beschlagnahmten sie elektronische Geräte, die derzeit forensisch untersucht werden.

Mehr zum Thema
  • Qakbot-Botnetz-Infrastruktur nach internationaler Operation zerschlagen
  • Ragnar Locker Ransomware-Bande durch internationalen Polizeieinsatz gestoppt
  • Internationale Zusammenarbeit führt zur Zerschlagung einer Ransomware-Gruppe in der Ukraine
  • LockBit: Internationale Ermittlungen legen größtes Ransomware-Netzwerk der Welt lahm

    • Europol vor Ort zur Beschleunigung der forensischen Analyse der beschlagnahmten Daten

    An den Einsatztagen entsandte Europol drei Experten nach Deutschland, um operative Informationen mit den Europol-Datenbanken abzugleichen und weitere operative Analysen, Krypto-Rückverfolgung und forensische Unterstützung zu leisten. Es wird erwartet, dass die Analyse dieser Daten und anderer damit zusammenhängender Fälle weitere Ermittlungsaktivitäten auslösen wird. Europol richtete auch einen virtuellen Führungsstab ein, um die Ermittler und Experten von Europol, Deutschland, der Ukraine, den Niederlanden und den Vereinigten Staaten in Echtzeit zu verbinden und die Aktivitäten während der Hausdurchsuchungen zu koordinieren. Auch die Joint Cybercrime Action Taskforce (J-CAT) von Europol unterstützte die Operation. Dieses ständige operative Team besteht aus Verbindungsbeamten für Cyberkriminalität aus verschiedenen Ländern, die an hochrangigen Ermittlungen im Bereich der Cyberkriminalität arbeiten.

    Von Beginn der Ermittlungen an erleichterte Europol den Informationsaustausch, koordinierte die internationale Zusammenarbeit der Strafverfolgungsbehörden und unterstützte die operativen Tätigkeiten. Europol leistete auch analytische Unterstützung, indem es verfügbare Daten mit verschiedenen Kriminalfällen innerhalb und außerhalb der EU verknüpfte und die Ermittlungen mit Kryptowährung, Schadsoftware, Entschlüsselung und forensischer Analyse unterstützte.

    Letzte Artikel von Europol (Alle anzeigen)