Weltweite Razzia trifft Ransomware-Banden hinter globalen Malware-Angriffen
Ein koordiniertes internationales Ermittlerteam hat ein umfangreiches, von russischen Akteuren gesteuertes Cyberkriminellen-Netzwerk zerschlagen. Die Gruppe war verantwortlich für zahlreiche Ransomware-Angriffe sowie digitale Spionagekampagnen. Die Aktion wurde vom Bundeskriminalamt (BKA) in Deutschland geleitet und in Zusammenarbeit mit Ermittlern aus den USA, dem Vereinigten Königreich, Frankreich, Kanada, Dänemark und den Niederlanden durchgeführt.
Im Zuge des Einsatzes wurden 20 internationale Haftbefehle ausgestellt und 16 Anklagen in den USA offiziell gemacht. Die Ermittler führen mehr als 300.000 infizierte Computersysteme weltweit sowie millionenschwere Erpressungen auf die Gruppe zurück.
Zentrale Verdächtige hinter den Angriffen benannt
Die Behörden identifizierten mehrere mutmaßliche Anführer der Malware-Netzwerke Qakbot und Danabot. Zu ihnen gehören Rustam Rafailevich Gallyamov aus Moskau sowie Aleksandr Stepanov („JimmBee“) und Artem Aleksandrovich Kalinkin („Onix“) aus Nowosibirsk. Laut den Ermittlern entwickelten und steuerten sie Software, mit der weltweit sensible Daten gestohlen und Opfer erpresst wurden.
Ein weiterer Hauptverdächtiger ist Vitalii Nikolayevich Kovalev, dem vorgeworfen wird, die berüchtigte Conti-Ransomware-Gruppe geleitet zu haben. Unter den Decknamen „Stern“ und „Ben“ soll er Hunderte von Angriffen durchgeführt und dabei rund eine Milliarde Euro in Kryptowährungen erpresst haben. Ermittler bringen ihn auch mit den neueren Gruppen Royal und Blacksuit in Verbindung.
Malware diente der Erpressung und Spionage
Neben finanzieller Erpressung nutzten die Täter spezialisierte Schadsoftware auch zur Spionage. Sie griffen gezielt militärische, diplomatische und zivilgesellschaftliche Organisationen an. Die dabei erbeuteten Daten wurden auf Servern in Russland gespeichert, so die Ermittler.
Die Angreifer warben offen in russischsprachigen Foren für ihre Dienste und organisierten sich in professionell strukturierten Netzwerken.
Operation Endgame: Deutschland führt internationalen Schlag an
Die im Jahr 2022 gestartete „Operation Endgame“ wurde vom BKA initiiert, um der zunehmenden Bedrohung durch Cyberangriffe zu begegnen. BKA-Präsident Holger Münch lobte die enge Zusammenarbeit mit internationalen Partnern. Auch wenn sich viele Verdächtige weiterhin in Russland oder Dubai befinden und nicht ausgeliefert werden können, erschwert ihre öffentliche Identifikation deren weiteres Vorgehen erheblich.
Zu den neu auf die europäische Fahndungsliste gesetzten Verdächtigen gehört auch der ukrainische Staatsbürger Roman Mikhailovich Prokop, der als Mitglied der Qakbot-Gruppe gilt.
Schwere Rückschläge für das kriminelle Netzwerk
Zwar sind direkte Festnahmen in vielen Fällen nicht unmittelbar möglich, doch die Behörden betonen, dass die Enthüllungen und Eingriffe das Netzwerk massiv geschwächt haben. Die nun öffentlich gemachten Identitäten, gesperrte Finanzflüsse und blockierte Zugänge erschweren es den Tätern, weiter zu operieren.
„Operation Endgame 2.0 zeigt, dass selbst scheinbar unsichtbare Cyberkriminelle aufgedeckt werden können“, sagte Münch. Die Staatsanwaltschaften wollen die Ermittlungen fortsetzen und die Beteiligten wegen digitaler Erpressung, Mitgliedschaft in kriminellen Vereinigungen und internationaler Cyberkriminalität strafrechtlich verfolgen.
