Ragnar Locker Ransomware-Bande durch internationalen Polizeieinsatz gestoppt

Veröffentlicht am von

In dieser Woche versetzten Strafverfolgungs- und Justizbehörden aus elf Ländern einer der gefährlichsten Ransomware-Operationen der letzten Jahre einen schweren Schlag.

Diese Aktion, international koordiniert von Europol und Eurojust, richtete sich gegen die Ransomware-Gruppe Ragnar Locker. Die Gruppe war für zahlreiche hochkarätige Angriffe auf kritische Infrastrukturen weltweit verantwortlich.

Ragnar Locker Ransomware-Bande durch internationalen Polizeieinsatz gestoppt
Ragnar Locker Ransomware-Bande durch internationalen Polizeieinsatz gestoppt. ©Europol

Zwischen dem 16. und 20. Oktober wurden Durchsuchungen in Tschechien, Spanien und Lettland durchgeführt. Das „Hauptziel“ dieser schädlichen Ransomware wurde am 16. Oktober in Paris, Frankreich, festgenommen und sein Haus in Tschechien durchsucht. Fünf Verdächtige wurden in den darauffolgenden Tagen in Spanien und Lettland verhört. Am Ende der Aktionswoche wurde der Haupttäter, der verdächtigt wird, ein Entwickler der Ragnar-Gruppe zu sein, vor die Ermittlungsrichter des Pariser Justizgerichts gebracht.

Mehr zum Thema
  • Internationale Zusammenarbeit führt zur Zerschlagung einer Ransomware-Gruppe in der Ukraine
  • LockBit: Internationale Ermittlungen legen größtes Ransomware-Netzwerk der Welt lahm
  • Qakbot-Botnetz-Infrastruktur nach internationaler Operation zerschlagen
  • Einer der größten Kryptowährungs-Waschsalons im Darkweb ausgehebelt

    • Die Infrastruktur der Ransomware wurde auch in den Niederlanden, Deutschland und Schweden beschlagnahmt und die damit verbundene Datenleck-Website auf Tor wurde in Schweden stillgelegt.

    Diese internationale Razzia folgt einer komplexen Untersuchung, die von der französischen Nationalen Gendarmerie geleitet wurde, zusammen mit Strafverfolgungsbehörden aus Tschechien, Deutschland, Italien, Japan, Lettland, den Niederlanden, Spanien, Schweden, der Ukraine und den Vereinigten Staaten von Amerika.

    Im Rahmen dieser Untersuchung wurde bereits im Oktober 2021 mit Unterstützung von Europol eine erste Verhaftungswelle in der Ukraine durchgeführt.

    Was ist die Ransomware Ragnar Locker?

    Seit Dezember 2019 aktiv, ist Ragnar Locker der Name einer Ransomware-Variante und der kriminellen Gruppe, die sie entwickelt und betrieben hat.

    Diese schädliche Akteursgruppe wurde bekannt, indem sie kritische Infrastrukturen weltweit angriff und zuletzt Angriffe auf die portugiesische nationale Fluggesellschaft und ein Krankenhaus in Israel beanspruchte.

    Diese Ransomware-Variante zielte auf Geräte ab, die mit Microsoft Windows-Betriebssystemen liefen, und nutzte typischerweise offene Dienste wie das Remote Desktop-Protokoll, um Zugriff auf das System zu erhalten.

    Die Ragnar Locker-Gruppe war dafür bekannt, eine doppelte Erpressungstaktik anzuwenden, bei der sie sowohl exorbitante Zahlungen für Entschlüsselungstools als auch für die Nichtveröffentlichung der gestohlenen sensiblen Daten verlangte.

    Das Bedrohungsniveau von Ragnar Locker wurde aufgrund der Neigung der Gruppe, kritische Infrastrukturen anzugreifen, als hoch eingestuft.

    Rufen Sie nicht die Polizei an

    Ragnar Locker warnte ihre Opfer ausdrücklich davor, die Strafverfolgungsbehörden zu kontaktieren, und drohte damit, alle gestohlenen Daten von Organisationen, die um Hilfe baten, auf seiner Darknet-„Wall of Shame“-Leak-Site zu veröffentlichen.

    „Alles, was das FBI und Ransomware-Unterhändler/Untersucher tun, bringt alles durcheinander, also werden wir Ihre Daten veröffentlichen, wenn Sie um Hilfe rufen“, kündigte die Ragnar Locker Ransomware-Bande auf ihrer versteckten Website an.

    Sie ahnten nicht, dass die Strafverfolgung ihnen auf den Fersen war.

    Im Oktober 2021 wurden Ermittler der französischen Gendarmerie und des US-FBI zusammen mit Spezialisten von Europol und INTERPOL in die Ukraine entsandt, um zusammen mit der ukrainischen Nationalpolizei Ermittlungsmaßnahmen durchzuführen, was zur Festnahme von zwei führenden Ragnar Locker-Betreibern führte.

    Die Ermittlungen gingen seither weiter und führten zu den Festnahmen und Störaktionen in dieser Woche. Das Europäische Zentrum für Cyberkriminalität von Europol unterstützte die Ermittlungen von Anfang an und brachte alle beteiligten Länder zusammen, um eine gemeinsame Strategie zu entwickeln.

    Seine Cyberkriminalexperten organisierten 15 Koordinationstreffen und zwei wochenlange Sprints zur Vorbereitung der neuesten Maßnahmen und boten zudem analytische, malwarebezogene, forensische und krypto-basierte Unterstützung. In dieser Woche wurde von Europol ein virtuelles Kommandoposten eingerichtet, um eine reibungslose Koordination zwischen allen beteiligten Behörden zu gewährleisten.

    Unterstützung durch Eurojust

    Der Fall wurde im Mai 2021 von Eurojust auf Ersuchen der französischen Behörden eröffnet. Fünf Koordinationstreffen wurden von der Agentur veranstaltet, um die justizielle Zusammenarbeit zwischen den Behörden der Länder, die die Untersuchung unterstützten, zu erleichtern. Eurojust richtete während der Aktionswoche ein Koordinierungszentrum ein, um eine schnelle Zusammenarbeit zwischen den justiziellen Behörden zu ermöglichen.

    Der Leiter des Europäischen Zentrums für Cyberkriminalität von Europol, Edvardas Šileris, sagte:

    Diese Untersuchung zeigt erneut, dass internationale Zusammenarbeit der Schlüssel ist, um Ransomware-Gruppen zu stoppen. Prävention und Sicherheit verbessern sich, dennoch finden Ransomware-Betreiber weiterhin neue Opfer. Europol wird seine Rolle bei der Unterstützung der EU-Mitgliedstaaten spielen, wenn sie diese Gruppen ins Visier nehmen, und jeder Fall hilft uns, unsere Ermittlungsmethoden und unser Verständnis für diese Gruppen zu verbessern. Ich hoffe, dass diese Verhaftungswelle eine starke Botschaft an Ransomware-Betreiber sendet, die glauben, dass sie ihre Angriffe ohne Konsequenzen fortsetzen können.

    Eine enge Zusammenarbeit zwischen den beteiligten Strafverfolgungsbehörden wurde auch von der Gemeinsamen Cyberkriminalitätsaktionsgruppe von Europol (J-CAT) unterstützt, die aus Cyberkriminalitäts-Verbindungsoffizieren besteht, die im Hauptquartier von Europol stationiert sind.

    An der Untersuchung beteiligten sich die folgenden Behörden

    • Tschechien: Nationale Agentur für Terrorismusbekämpfung, Extremismus und Cyberkriminalität der Polizei der Tschechischen Republik
    • Frankreich: Nationales Zentrum für Cyberkriminalität der französischen Gendarmerie (Gendarmerie Nationale – C3N)
    • Deutschland: Landeskriminalamt Sachsen, Bundeskriminalamt
    • Italien: Staatspolizei (Polizia di Stato), Post- und Kommunikationspolizei (Polizia Postale e delle Comunicazioni)
    • Japan: Nationale Polizeibehörde (NPA)
    • Lettland: Staatliche Polizei (Latvijas Valsts Policija)
    • Niederlande: Polizei von Ost-Niederlande (Politie Oost-Nederland)
    • Spanien: Zivilgarde (Guardia Civil)
    • Schweden: Schwedisches Zentrum für Cyberkriminalität (SC3)
    • Ukraine: Abteilung für Cyberpolizei der Nationalpolizei der Ukraine (Національна поліція України)
    • Vereinigte Staaten: Außenstelle Atlanta des Federal Bureau of Investigation

    Die Untersuchung wurde im Rahmen der Europäischen multidisziplinären Plattform gegen kriminelle Bedrohungen (EMPACT) durchgeführt.

    Europol
    Letzte Artikel von Europol (Alle anzeigen)