Ransomware: Razzia gegen REvil-Gang in Rumänien

Strafverfolgungsbehörden unter anderem aus zwölf europäischen Staaten inklusive Deutschland, den USA und der EU ist offenbar ein Schlag gegen die kriminelle Gruppe REvil alias Sodinokibi gelungen: Rumänische Fahnder haben zwei Verdächtige verhaftet, denen sie IT-Attacken mit der gleichnamigen Ransomware zur Last legen. Sie sollen für 5000 Infektionen mit dem Verschlüsselungstrojaner verantwortlich sein, über die sie insgesamt eine halbe Million Euro an Lösegeldzahlungen eintrieben.

500.000 Euro Lösegelder

Die REvil-Gruppe trat 2019 als Nachfolgerin der inzwischen nicht mehr existierenden GandCrab-Bande auf. Sie gilt als eine der besonders umtriebigen Ransomware-Schmieden im Darknet. Seit Februar 2021 haben die an der Operation GoldDust beteiligten Polizeiämter drei weitere Mitglieder von Sodinokibi/REvil und zwei Verdächtige in Verbindung mit GandCrab verhaftet, wie Europol am Montag mitteilte. An den Ermittlungen waren demnach auch Behörden aus Kanada, den Philippinen, Südkorea und Kuwait beteiligt.

Die insgesamt sieben Verhaftungen folgten laut Europol auf die gemeinsamen internationalen Bemühungen der Strafverfolgerteams, einen Teil der von der REvil-Ransomware-Familie genutzten Infrastruktur zu identifizieren und zu beschlagnahmen. Dabei seien auch Mitglieder der Gang abgehört worden. Die anderen Zugriffe auf zugehörige Personen sind in Europa, Südkorea und Kuwait im Lauf des Jahres erfolgt. Alle Geschnappten sollen zusammen für Angriffe auf rund 7000 Opfer verantwortlich gewesen sein.

Mitglieder des REvil-Partnerprogramms haben in den vergangenen Jahren tausende IT-Unternehmen, Service-Provider und Einzelhändler auf der ganzen Welt ins Visier genommen. Nach dem erfolgreichen Verschlüsseln der Daten einer Firma forderten sie hohe Lösegelder von bis zu 70 Millionen US-Dollar im Austausch für einen Entschlüsselungskey und die Gewähr, dass die während des Angriffs erbeuteten internen Daten nicht veröffentlicht würden.

Internationale Zusammenarbeit

Frankreich, Deutschland, Rumänien, Europol und die europäische Staatsanwaltschaft Eurojust verstärkten daher die Maßnahmen gegen die Bande im Mai, indem sie ein gemeinsames Ermittlungsteam einrichteten. Zuvor hatte Europol bereit seit 2018 eine Untersuchung unter rumänischer Leitung unterstützt, die sich gegen GandCrab richtete und an der Strafverfolgungsbehörden etwa auch aus Großbritannien und den USA beteiligt waren.

Das EU-Polizeiamt erleichterte bei der Operation nach eigener Darstellung den Informationsaustausch, half bei der Koordination zwischen den Beteiligten und leistete operative analytische Unterstützung. Man habe zudem Analysen in den Bereichen Kryptowährungen, Schadsoftware und Forensik durchgeführt. Während der jüngsten Aktionstage seien Europol-Experten an jeden beteiligten Standort geschickt worden. Ein "virtueller Gefechtsstand" habe die Durchführung der Razzien erleichtert.

Die IT-Sicherheitsfirma Bitdefender hatte im September ein neues universelles Entschlüsselungstool für Betroffene aller REvil-Ransomware-Angriffe bis Juli veröffentlicht. Europol dankte dem Cybersicherheitssektor dafür, entscheidend zur "Minimierung des Schadens" durch Erpressungstrojaner beigetragen zu haben. Viele Partner hätten bereits Instrumente für eine Reihe solcher Malware über die Webseite No More Ransom bereitgestellt. Derzeit seien dort Entschlüsselungshilfen für GandCrab (Version 1, 4 und 5 bis 5.2) und für Sodinokibi/REvil verfügbar. Neben Bitdefender hätten unter anderem KPN und McAfee den Fahndern mit technischem Fachwissen unter die Arme gegriffen.

Zuletzt waren Strafverfolger aus Europa und den USA gegen "Cyber-Akteure" vorgegangen, die unter anderem die Verschlüsselungstrojaner LockerGoga, MegaCortex und Dharma eingesetzt haben sollen. Zuvor hatten Sicherheitsbehörden inklusive Europol im Oktober eine ukrainische Ransomware-Gang ausgehoben.

(olb)