DoppelPaymer: Razzien gegen Ransomware-Gang in Nordrhein-Westfalen und Ukraine

Strafverfolger sprechen von einem Schlag gegen die kriminelle Bande, die hinter groß angelegten Cyberangriffen mit der Ransomware DoppelPaymer stecken soll.

In Pocket speichern vorlesen Druckansicht 24 Kommentare lesen

(Bild: aslysun/Shutterstock.com)

Update
Lesezeit: 3 Min.

Am 28. Februar 2023 sind das Landeskriminalamt Nordrhein-Westfalen (LKA) und die ukrainische Nationalpolizei (Націона́льна полі́ція Украї́ни) bei Razzien in Deutschland und in der Ukraine gegen mutmaßliche Kernmitglieder der kriminellen Gruppe vorgegangen, die für massive Cyberangriffe mit der Ransomware DoppelPaymer verantwortlich sein soll. Dies teilte das Europäische Polizeiamt (Europol), das die Aktion zusammen mit der niederländischen Polizei und dem FBI unterstützte, am Montag mit. Bislang unbekannte Täter sollen die Schadsoftware hierzulande unter anderem bei den Trojaner-Attacken auf die Düsseldorfer Uni-Klinik sowie auf die Funke-Mediengruppe 2020 eingesetzt haben.

Bei den gleichzeitigen Aktionen durchsuchten deutsche Beamte das Haus eines deutschen Staatsangehörigen. Die Ermittler gehen davon aus, dass er eine wichtige Rolle in der Erpresserbande gespielt hat. Das LKA analysiert derzeit die beschlagnahmte Ausrüstung, um seiner genauen Funktion auf die Spur zu kommen. Parallel verhörten ukrainische Polizeikräfte trotz der derzeit äußerst schwierigen Sicherheitslage vor Ort einen Staatsangehörigen des Landes, der offenbar ebenfalls dem inneren Zirkel der kriminellen Vereinigung angehörte. Diese Razzien bezogen sich auf zwei Orte, einen in Kiew und einen in Charkiw. Dabei beschlagnahmten die Fahnder elektronische Geräte, die derzeit forensisch untersucht werden.

Europol entsandte nach eigenen Angaben drei Experten nach Deutschland, um operative Informationen mit den Datenbanken der Behörde abzugleichen und weitere operative Analysen und forensische Unterstützung zu leisten. Dabei seien etwa auch Kryptowerte zurückverfolgt worden. Das Polizeiamt geht davon aus, dass die Prüfung dieser Daten und anderer damit zusammenhängender Fälle weitere Ermittlungsaktivitäten auslösen wird. Europol richtete der Meldung zufolge auch einen "virtuellen Gefechtsstand" ein, um die eingesetzten Beamten in Deutschland, der Ukraine, den Niederlanden und den USA "in Echtzeit zu verbinden" und die Hausdurchsuchungen zu koordinieren. Auch die Joint Cybercrime Action Taskforce (J-CAT) von Europol sei beteiligt gewesen.

DoppelPaymer tauchte 2019 auf, als Cyberkriminelle begannen, den Erpressungstrojaner für Angriffe auf Organisationen, kritische Infrastrukturen und Branchen zu verwenden. Er basiert auf der BitPaymer-Ransomware und gehört zur Dridex-Malware-Familie. Die Malware verwendet laut Europol "ein einzigartiges Instrument, das in der Lage ist, Verteidigungsmechanismen zu kompromittieren". Dabei würden sicherheitsrelevante Prozesse der angegriffenen Systeme gestoppt oder unterlaufen. Ermöglicht worden seien DoppelPaymer-Angriffe durch die weit verbreitete, besonders berüchtigte Schadsoftware Emotet.

Verbreitet worden sei DoppelPaymer über verschiedene Kanäle, erläutert Europol. Darunter seien Phishing- und Spam-E-Mails mit angehängten Dokumenten gewesen, die Schadcode als JavaScript oder VBScript enthielten. Die kriminelle Gruppe hinter dieser Ransomware habe auf ein doppeltes Erpressungsschema gesetzt, also nicht nur Lösegeld verlangt, sondern gegebenenfalls auch abgefangene Daten über eine Leak-Webseite veröffentlicht. Den deutschen Behörden seien 37 Opfer dieser Bande bekannt, wobei letztlich Unternehmen anvisiert worden seien. In den USA hätten Betroffenen zwischen Mai 2019 und März 2021 mindestens 40 Millionen Euro gezahlt, um auf Forderungen der Erpresser einzugehen.

Update

Als Haupttäter der auch als "DoppelSpider" oder "Indrik Spider" bekannten Bande gelten zwei Männer und eine Frau, die sich laut Ermittlerkreisen in Russland aufhalten. Gegen sie erwirkte die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) Haftbefehle, darunter gegen Igor Olegovich T., der als Administrator der für die Angriffe genutzten IT-Infrastruktur und Schadsoftware fungiert haben soll. US-Sicherheitsbehörden haben auf T. ein Kopfgeld in Höhe von fünf Millionen US-Dollar ausgesetzt. Laut LKA-Ermittlungsleiter Dirk Kunze handelt es sich um einen großen, international verflochtenen Komplex. Insgesamt hätten elf Verdächtige identifiziert werden können. Sie sollen in Russland, Deutschland und der Republik Moldau leben.

(tiw)