Europol zerschlägt Ransomware-Gruppe

[English]Europol ist ein neuer Schlag gegen Cyber-Kriminelle in verschiedenen Ländern gelungen, die Unternehmen und Organisationen mit Ransomware erpresst haben. Den 12 Verdächtigen wird vorgeworfen, 1.800 Opfer in 71 Ländern mit Ransomware infiziert und dann Lösegeld erpresst zu haben. Ermittler griffen am Dienstag dieser Woche in der Ukraine und in der Schweiz zu und konnten Bargeld, Luxus-Autos und weiteres Beweismaterial sicherstellen.

Europol und die europäische Justizbehörde Eurotrust haben dies am heutigen Freitag in entsprechenden Presseerklärungen mitgeteilt. Nachfolgender Tweet von Europol weist auf diesen Sachverhalt hin.

Verdächtige identifiziert

Den Ermittlern gelang es, insgesamt 12 Personen, die weltweit mit Ransomware-Angriffen auf kritische Infrastrukturen Schaden angerichtet haben, im Rahmen einer Operation der Strafverfolgungs- und Justizbehörden in acht Ländern ins Visier zu nehmen. Es wird von den Ermittlern angenommen, dass diese Beschuldigten für Ransomware-Angriffe auf über 1 800 Opfer (u.a. Norsk Data) in 71 Ländern verantwortlich sind. Die Cyber-Akteure sind dafür bekannt, dass sie gezielt große Unternehmen per Ransomware angreifen und deren Geschäftstätigkeit zum Erliegen bringen.

Aktionen gegen die Verdächtigen

In den frühen Morgenstunden des 26. Oktober 2021 fanden Aktionen der Strafverfolger in der Ukraine und der Schweiz statt. Die meisten dieser Verdächtigen gelten als hochrangige Zielpersonen, da gegen sie in mehreren hochkarätigen Fällen in verschiedenen Rechtsordnungen ermittelt wird. Am Aktionstag wurden über 52 000 US-Dollar in bar sowie 5 Luxusfahrzeuge beschlagnahmt. Eine Reihe elektronischer Geräte wird derzeit forensisch untersucht, um Beweise zu sichern und neue Ermittlungsansätze zu ermitteln.

Netzwerk an Cyber-Kriminellen

Die ins Visier genommenen Verdächtigen hatten unterschiedliche Funktionen in diesen professionellen, gut organisierten kriminellen Organisationen. Einige dieser Kriminellen bemühten sich um das Eindringen in das Netzwerk und nutzten mehrere Mechanismen, um IT-Netzwerke zu kompromittieren, darunter Brute-Force-Angriffe, SQL-Injektionen, gestohlene Anmeldedaten und Phishing-E-Mails mit bösartigen Anhängen.

Sobald sie in das Netzwerk eingedrungen waren, konzentrierten sich einige dieser Cyber-Akteure darauf, sich seitlich zu bewegen und Malware wie Trickbot oder Post-Exploitation-Frameworks wie Cobalt Strike oder PowerShell Empire einzusetzen, um unentdeckt zu bleiben und weiteren Zugang zu erhalten.

Die Kriminellen verharren dann manchmal monatelang unentdeckt in den kompromittierten Systemen und suchen nach weiteren Schwachstellen in den IT-Netzwerken, bevor sie die Infektion durch den Einsatz einer Ransomware zu Geld machen. Es ist bekannt, dass diese Cyber-Akteure unter anderem LockerGoga, MegaCortex und Dharma Ransomware eingesetzt haben.

Die Auswirkungen der Ransomware-Angriffe waren verheerend, da die Kriminellen Zeit hatten, die IT-Netzwerke unentdeckt zu erkunden. Den Opfern wurde dann eine Lösegeldforderung vorgelegt, in der sie aufgefordert wurden, den Angreifern im Austausch für Entschlüsselungsschlüssel Bitcoin zu zahlen.

Einige der verhörten Personen werden verdächtigt, für die Geldwäsche der Lösegeldzahlungen verantwortlich zu sein: Sie schleusten die Bitcoin-Lösegeldzahlungen durch Mischdienste, bevor sie die unrechtmäßig erworbenen Gewinne in bar auszahlten.

Kooperation der Strafverfolger

Auf Initiative der französischen Behörden wurde im September 2019 eine gemeinsame Ermittlungsgruppe (GEG) zwischen Norwegen, Frankreich, dem Vereinigten Königreich und der Ukraine mit finanzieller Unterstützung von Eurojust und der Hilfe der beiden Agenturen eingerichtet. Die Partner der GEG arbeiten seither parallel zu den unabhängigen Ermittlungen der niederländischen und US-amerikanischen Behörden eng zusammen, um das tatsächliche Ausmaß und die Komplexität der kriminellen Aktivitäten dieser Cyber-Akteure aufzudecken und eine gemeinsame Strategie zu entwickeln.

Für die Identifizierung dieser Bedrohungsakteure war die von Europol und Eurojust koordinierte internationale Zusammenarbeit von zentraler Bedeutung. Denn die Opfer befanden sich an verschiedenen geografischen Standorten auf der ganzen Welt. Eurojust richtete ein Koordinierungszentrum ein, um die grenzüberschreitende justizielle Zusammenarbeit während des Aktionstages zu erleichtern. Zur Vorbereitung wurden sieben Koordinationssitzungen abgehalten.

Das Europäische Zentrum für Cyberkriminalität (EC3) von Europol richtete operative Sitzungen aus, leistete Unterstützung in den Bereichen digitale Forensik, Kryptowährungen und Malware und erleichterte den Informationsaustausch im Rahmen der Joint Cybercrime Action Taskforce (J-CAT), die am Hauptsitz von Europol in Den Haag angesiedelt ist.

Mehr als 50 ausländische Ermittler, darunter sechs Europol-Spezialisten, wurden für den Aktionstag in die Ukraine entsandt, um die nationale Polizei bei der Durchführung gemeinsamer Ermittlungsmaßnahmen zu unterstützen. Außerdem wurde ein ukrainischer Cyberpolizist für zwei Monate zu Europol abgeordnet, um sich auf den Aktionstag vorzubereiten. Die folgenden Behörden nahmen an dieser Operation teil:

Norwegen: Nationales Kriminalkommissariat (Kripos)
Frankreich: Staatsanwaltschaft von Paris, Nationale Polizei (Police Nationale – OCLCTIC)
Niederlande: Nationale Polizei (Politie), Nationale Staatsanwaltschaft (Landelijk Parket, Openbaar Ministerie)
Ukraine: Generalstaatsanwaltschaft (Офіс Генерального прокурора), Nationale Polizei der Ukraine (Національна поліція України)
Vereinigtes Königreich: Polizei Schottland, Nationale Kriminalitätsbekämpfungsbehörde (NCA)
Deutschland: Polizeipräsidium Reutlingen (Polizeidirektion Reutlingen)
Schweiz: Bundespolizei (fedpol), Polizei Basel-Landschaft
Vereinigte Staaten: United States Secret Service (USSS), Federal Bureau of Investigations (FBI)
Europol: Europäisches Zentrum für Cyberkriminalität (EC3)
Eurojust

Es zeigt sich, dass die Strafverfolger durchaus erfolgreich gegen Cyber-Kriminelle vorgehen können. Allerdings ist der Aufwand recht hoch und einige Akteure sitzen unerreichbar in Russland oder anderen Ländern.