Kriminalität im Netz: Schlag gegen Cybercrime - Täter im russischsprachigen Raum

Hannover/Verden - Fast 200 Geschädigte weltweit und ein Millionenschaden: Internationalen Ermittlern ist ein Schlag gegen weltweit agierende cyberkriminelle Erpresser gelungen. Die technische Infrastruktur der Gruppierung Blacksuit/Royal sei identifiziert und beschlagnahmt worden, teilte das Landeskriminalamt (LKA) Niedersachsen mit. Die Spuren der Täter führten die Ermittler ins europäische Ausland, wo mehrere Serversysteme sichergestellt und vom Netz genommen wurden, wie der LKA-Cybercrime-Experte Frank Puschin sagte.

Durch das Abschalten der Server wurden demnach die Kommunikation, die Verbreitung der Schadsoftware und die Seite der Täter getroffen. Wo genau die Infrastruktur stand, wollen die Ermittler nicht verraten. „Allerdings können wir sagen, dass die Täter im russischsprachigen Raum sitzen. Das ist kein Geheimnis“, berichtete Puschin. 

Die Ermittler sprechen von 184 geschädigten Unternehmen oder Einrichtungen weltweit, von denen etwa 40 in Deutschland registriert seien. Eine im August 2024 festgestellte Schadensumme bezifferten die Beamten auf mehr als 500 Millionen US-Dollar (rund 430 Millionen Euro). Bei der langfristig geplanten Aktion seien Ende Juli erhebliche Mengen an Daten gesichert worden. Diese sollen zur Aufklärung und Identifizierung von Verantwortlichen ausgewertet werden. 

„Damit setzen wir ein klares Zeichen zur Bekämpfung von Kriminalität im digitalen Raum“, wird LKA-Präsident Thorsten Massinger in einer Mitteilung zitiert. Angriffen auf Unternehmen, öffentliche Einrichtungen und Privatpersonen werde mit allen zur Verfügung stehenden Mitteln begegnet. Die Ermittlungsbehörden riefen Geschädigte auf, Angriffe anzuzeigen, um weitere Taten zu verhindern.

Bei den Taten handelt es sich nach Beschreibung der Ermittler um doppelte Erpressung. Die Angreifer verschlüsseln Daten nicht nur, sondern stehlen diese vorher. Das bedeute, dass die Täter eine Kopie haben, auch wenn die Opfer selbst in der Lage sind, ihre Dateien wiederherzustellen. Anschließend werde damit gedroht, die Daten zu veröffentlichen oder zu verkaufen, um Lösegeld zu erpressen. Die betroffenen Unternehmen kommen nach LKA-Angaben aus allen Branchen. „Die Täter haben keine Präferenz“, sagte Puschin. 

Bisher habe es in diesem Ermittlungskomplex keine Festnahmen gegeben. Es sei bisher auch nicht gelungen, Geld sicherzustellen. Die Infrastruktur und die Täter nachhaltig gestört zu haben, sei ein Zwischenschritt, der weitere Ermittlungsansätze generieren solle, sagte Puschin. Die Ermittler gehen ihm zufolge davon aus, dass sich die Täter neu formieren und unter anderer Bezeichnung weitermachen. 

Weil relativ früh Geschädigte in Hannover identifiziert gewesen seien, habe das LKA Niedersachsen in Abstimmung mit allen anderen Bundesländern und dem Bundeskriminalamt eine führende Rolle für die Ermittlungen in Deutschland übernommen.