8Base: Vier Festnahmen und 17 Server in Deutschland beschlagnahmt
Strafverfolgungsbehörden aus 14 Ländern haben vier Anführer der Ransomware-Gruppe 8Base festgenommen. Weltweit hat die Gruppe hohe Lösegeldsummen erpresst.
(Bild: Europol)
In einer koordinierten Aktion von Strafverfolgungsbehörden aus 14 Ländern sind vergangene Woche vier Anführer der Ransomware-Gruppe 8Base festgenommen worden, der größte Affiliate von Phobos. Die Festnahme in Thailand gelang zusammen mit dem FBI, der Schweizer Bundesanwaltschaft und der Schweizer Bundespolizei (Fedpol). 8Base steht unter Verdacht, mit einer Variante der Phobos-Ransomware weltweit hohe Lösegeldzahlungen erpresst zu haben. Dabei betrieb sie, wie viele Ransomware-Gruppen, Double Extortion.
Phobos hat unter anderem die Basler Softwarefirma Concevis angegriffen, wovon auch Schweizer Bundesbehörden betroffen waren. Auf der Liste der Opfer stehen aber auch Gesundheitseinrichtungen wie Krankenhäuser und Apotheken, informiert die bei der Generalstaatsanwaltschaft Bamberg angesiedelte Zentralstelle Cybercrime Bayern (ZCB). Sie hat ebenfalls an der Aktion internationaler Strafverfolgungsbehörden teilgenommen.
Am vergangenen Sonntag habe die "IT-Infrastruktur der 8Base-Gruppierung beschlagnahmt und vom Bayerischen Landeskriminalamt vom Netz genommen" werden können, teilt die ZCB mit. "Zuvor wurde durch das Amtsgericht Bamberg die Beschlagnahme von insgesamt 115 Servern angeordnet", so die ZCB. Weitere 15 Server wurden auf Anordnung beschlagnahmt. Laut Europol wurden insgesamt 27 Server beschlagnahmt, die mit dem kriminellen Netzwerk in Verbindung stehen – 17 davon in Deutschland, wie die ZCB mitteilt. In Deutschland fanden laut ZCB 365 Phobos-Angriffe statt.
Jahrelange Ermittlungsarbeit
Die Aktion, an der neben dem FBI und der Schweizer Bundesanwaltschaft Fedpol auch das ZCB und das Bayerische Landeskriminalamt (BLKA) und weitere beteiligt waren, folgt auf eine Reihe von Festnahmen in Zusammenhang mit Phobos. Im Juni ist ein Administrator von Phobos in SĂĽdkorea festgenommen und anschlieĂźend an die Vereinigten Staaten ausgeliefert worden. Er wird nun wegen verschiedener Ransomware-Angriffe auf Kritische Infrastrukturen angeklagt. 2023 wurde nach Angaben von Europol ein weiterer Phobos-Affiliate in Italien festgenommen. Sie konnten der kriminellen Gruppierung 8Base zugeordnet werden. Europols European Cybercime Centre (EC3) unterstĂĽtzt die Untersuchung seit Anfang 2019.
Laut ZCB habe das BLKA "240 Firmen aus 30 Ländern vor einer Verschlüsselung" warnen können – 55 Unternehmen stammen aus den USA, 35 aus Frankreich, 25 aus Japan und 18 Firmen aus Deutschland. "Äußerst erfreulich ist, dass durch das Bayerische Landeskriminalamt weltweit deutlich über einhundert Geschädigte vor einer Verschlüsselung ihrer Daten bewahrt werden konnten. Bei einem statistisch durchschnittlichen Schaden von etwa fünf Millionen Euro im Falle eines erfolgreichen Ransomware-Angriffs ergibt sich hier eine rechnerisch unglaubliche Summe von weit mehr als einer halben Milliarde Euro", kommentiert BLKA-Präsident Norbert Radmacher. Insgesamt seien durch die Strafverfolgungsbehörden laut Europol mehr als 400 Unternehmen weltweit vor laufenden oder bevorstehenden Ransomware-Angriffen gewarnt worden.
Die Ransomware Phobos wurde nach Informationen von Europol erstmals im Dezember 2018 gesichtet und wird häufig bei großangelegten Angriffen auf Unternehmen und Organisationen auf der ganzen Welt eingesetzt. Phobos greift nach Angaben von Europol vor allem kleine und mittelständische Unternehmen an, die oft nicht ausreichend abgesichert sind.
(mack)
