LKA identifiziert DoppelPaymer Cybergang und erlässt Haftbefehle

Publiziert am 6. März 2023 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Internationalen Ermittlern und Strafverfolgern (FBI, LKA etc.) ist es gelungen, Mitglieder einer Cybergang, die unter den Namen "DoppelSpider" und "DoppelPaymer" operierte, zu identifizieren. Die Cybergang war für Ransomware-Angriffe auf deutsche Firmen und die Uniklinik Düsseldorf verantwortlich. Vorigen Dienstag wurden Hausdurchsuchungen in Deutschland und in der Ukraine durchgeführt. Die Strafverfolger haben zudem internationale Haftbefehle gegen drei Beschuldigte mit russischem Hintergrund erlassen.

Anzeige

Ich habe es kurz in den Nachrichten im Radio vernommen, inzwischen gibt es auch eine Mitteilung des Landeskriminalamt Nordrhein-Westfalen. Spezialisten der Polizei NRW, unter Führung des Landeskriminalamtes Nordrhein-Westfalen (LKA NRW), ist in Kooperation mit Europol, dem Federal Bureau of Investigation (FBI), der niederländischen und der ukrainischen Polizei ein Schlag gegen ein international agierendes Netzwerk von Internetkriminellen gelungen. Unter Leitung der Zentral- und Ansprechstelle Cybercrime (ZAC NRW) durchsuchten die Ermittler letzten Dienstag zeitgleich mehrere Objekte in Deutschland und der Ukraine.

Die DoubleSpider / DoublePaymer-Gang

Die Cyberkriminellen operierten in einer Gang, die unter verschiedenen Namen wie DoubleSpider oder DoublePaymer bekannt ist. Die kriminelle Gruppe, die sich auch "Indrik Spider" oder "Doppel Spider" nennt, ist in Deutschland unter anderem für die Erpressung der Universitätsklinik Düsseldorf (siehe Düsseldorfer Uniklinik: IT-Ausfall durch Cyberangriff? und Links am Artikelende), die Cyberattacken gegen die Funke Mediengruppe (siehe Funke-Mediengruppe Opfer eines Cyberangriffs) und weiterer namhafter Unternehmen im Jahr 2020 verantwortlich.

Der Gang wird gewerbsmäßige, digitale Erpressung und Computersabotage vorgeworfen. Mit einer Schadsoftware, sogenannter Ransomware (BitPaymer, DoppelPaymer, PayOrGrief, Entropy) verschafften sich die Täter digitalen Zugang zu den Rechnern der betroffenen Unternehmen, griffen Daten ab und drohten anschließend mit der missbräuchlichen Nutzung, verbunden mit Geldforderungen.

Es wurden weltweit von über 600 Geschädigten teils bis zu zweistellige Millionenbeträge erpresst. Der erste bekannt gewordene Angriff dieser Art richtete sich im Mai 2017 gegen das Gesundheitswesen des Vereinigten Königreiches (UK). Es folgten weltweit weitere Cyberattacken auf die digitale Infrastruktur verschiedenster Firmen und Institutionen.

Ermittlungskommission "Parker" schlägt zu

Angesichts der Angriffe wurde in Deutschland die Ermittlungskommission (EK) "Parker" beim LKA Nordrhein-Westfalen gegründet. Durch die Ermittlungskommission "Parker" des LKA NRW werden zusammen mit der ZAC NRW zentral die Ermittlungen für alle bundesweiten Fälle geführt sowie die Ermittlungen gegen die Gruppierung zusammen mit Europol weltweit koordinierend geleitet.

Seit Juni 2020 sind die Cybercrime-Spezialisten des LKA NRW den international agierenden Cyber-Kriminellen auf der Spur. Die eigens eingerichtete Ermittlungskommission (EK) "Parker" konnte nun die Drahtzieher sowie weitere Mitglieder der Ransomware-Gruppierung "DoppelSpider"/"DoppelPaymer" identifizieren.

Im Rahmen einer gezielten Aktion wurden zeitgleich Durchsuchungsbeschlüsse in Deutschland und der Ukraine vollstreckt. Bei einer Aktion am Dienstag, 28.02.2023, durchsuchte die EK "Parker" mehrere Objekte in NRW, während zeitgleich Ermittler in der Ukraine gegen identifizierte Angehörige des Netzwerkes vorgingen.

Darüber hinaus erließ die ZAC NRW Haftbefehle gegen mutmaßliche Drahtzieher der kriminellen Gruppierung mit Bezügen nach Russland. Mit Haftbefehlen (Turashev, Zemlianikina und Garshin) suchen die Strafverfolgungsbehörden nun weltweit nach zunächst drei Verdächtigen.

Anzeige
  • lgor Olegovich Turashev steht im Verdacht, eine wesentliche Rolle, bei Cyberattacken auf deutsche Unternehmen gespielt zu haben. Der Gesuchte fungierte als Administrator der für die Angriffe genutzten IT-Infrastruktur und Malware.
  • Irina Zemlianikina zeichnet nach derzeitigen Ermittlungen ebenfalls mitverantwortlich für mehreren Cyberattacken auf deutsche Unternehmen. Sie administrierte insbesondere die genutzten Chat- und Leakingseiten, die für die Kommunikation der Täter mit ihren Opfern und zur Veröffentlichung gestohlener Daten dienten. Sie versendete auch E-Mails mit Malware im Anhang, um so Systeme mit Verschlüsselungssoftware zu infizieren.
  • Igor Garshin (alternativ: Garschin) steht im Verdacht, durch Ausspähen, Infiltrieren sowie die finale Verschlüsselung von Daten, einer der Hauptverantwortlichen für die Cyber-Angriffe nicht zuletzt auch auf deutsche Unternehmen zu sein.

Europol hat die Cyber-Kriminellen auf ihre "Europe's most wanted"- Liste gesetzt. An den Ermittlungen und den operativen Maßnahmen sind neben Europol und dem FBI auch die High-Tech Crime Unit der niederländischen Polizei und die Polizei in der Ukraine entscheidend beteiligt. Die Ermittlungskommission "Parker", angesiedelt bei der Abteilung "Cybercrime" des LKA NRW führt ihre Ermittlungen in guter Zusammenarbeit mit Sicherheitsbehörden weltweit fort im Kampf gegen Internetkriminalität.

"Das Verfahren zeigt, dass Cybercrime internationale Kriminalität ist – und zwar auf Seiten der Täter wie der Opfer. Täter greifen weltweit Infrastrukturen an, um Lösegelder für Daten zu erpressen." bewertet Markus Hartmann, Leiter der ZAC NRW, den aktuellen Ermittlungsstand. "Der jetzige Ermittlungserfolg zeigt aber auch, dass wir als Strafverfolger international handlungsfähig sind."

Die Mitteilung von Europool enthält noch einige zusätzliche Details. Die Ransomware wurde über verschiedene Kanäle verbreitet, darunter Phishing- und Spam-E-Mails mit angehängten Dokumenten, die bösartigen Code – entweder JavaScript oder VBScript – enthielten.

Die kriminelle Gruppe, die hinter dieser Ransomware steckt, setzte auf ein doppeltes Erpressungsschema und nutzte eine von den kriminellen Akteuren Anfang 2020 eingerichtete Leak-Website. Den deutschen Behörden sind 37 Opfer dieser Ransomware-Gruppe bekannt, allesamt Unternehmen. Einer der schwersten Angriffe richtete sich gegen das Universitätsklinikum in Düsseldorf. In den USA zahlten die Opfer zwischen Mai 2019 und März 2021 mindestens 40 Millionen Euro.

Im Rahmen der Aktion wurde am 28. Februar 2023 das Haus eines Deutschen durchsucht – der eine wichtige Rolle in der DoppelPaymer-Ransomware-Gruppe gespielt haben soll. Die Ermittler analysieren derzeit die beschlagnahmte Ausrüstung, um die genaue Rolle des Verdächtigen in der Struktur der Ransomware-Gruppe zu ermitteln.

Gleichzeitig verhörten ukrainische Polizeibeamte trotz der derzeit äußerst schwierigen Sicherheitslage in der Ukraine aufgrund des Einmarsches Russlands einen ukrainischen Staatsangehörigen, bei dem es sich ebenfalls um ein Mitglied des Kerns der DoppelPaymer-Gruppe handeln soll. Die ukrainischen Beamten durchsuchten zwei Orte, einen in Kiew und einen in Charkiw. Bei den Durchsuchungen beschlagnahmten sie elektronische Geräte, die derzeit forensisch untersucht werden.

Ähnliche Artikel:
Düsseldorfer Uniklinik: IT-Ausfall durch Cyberangriff?
Uniklinikum Düsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge
Ransomware-Befall in Uniklinik Düsseldorf nicht für Todesfall verantwortlich
Funke-Mediengruppe Opfer eines Cyberangriffs
Spanien: Ransomware-Befall bei Everis und Cadena SER
Erkenntnisse zur Ransomware-Gruppe Black Basta von Palo Alto Networks

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.