Ransomware

„REvil“-Drahtzieher offenbar in Russland enttarnt

(Bild: stock.adobe.com, krone.at-Grafik)

Strafverfolger des Landeskriminalamts Baden-Württemberg haben Berichten zufolge einen mutmaßlichen Drahtzieher hinter der gefährlichen Schadsoftware „REvil“ ermittelt. Sie gilt als eines der berüchtigtsten Programme für Ransomware-Angriffe - also digitale Erpressung, bei der Software die Computer sperrt und erst gegen Lösegeldzahlung wieder freigibt. In Deutschland waren von den „REvil“-Attacken unter anderem mehrere mittelständische Unternehmen, die Staatstheater Stuttgart und auch Krankenhäuser betroffen.

Bei dem Tatverdächtigen soll es sich nach Informationen des Bayerischen Rundfunks (BR) und Zeit online um einen russischen Staatsbürger handeln, der in einer Großstadt im Süden des Landes lebt. Er soll nach Ansicht der Ermittler „zweifelsfrei“ der Kerngruppe von „REvil“ und deren mutmaßlichem Vorgänger „Gandcrab“ angehören.

Weder die ermittelnden Behörden - Bundeskriminalamt und das Landeskriminalamt Baden-Württemberg - noch die Staatsanwaltschaft Stuttgart wollten sich auf Nachfrage öffentlich dazu äußern. Der Tatverdächtige reagierte nicht auf mehrfache Anfragen.

Geld direkt aus Erpressungssoftware
In sozialen Netzwerken präsentiert sich der Mann dem Bericht nach als Händler von Kryptowährungen mit luxuriösem Lebensstil, etwa teuren Sportwagen, Designerkleidung und Luxusreisen. Außerdem haben Reporter von BR und Zeit online in monatelangen Recherchen Anhaltspunkte dafür gefunden, dass der Verdächtige Geld erhalten hat, das direkt aus Ransomware-Fällen stammen soll.

Allerdings: Solange sich der Mann in Russland aufhält, können deutsche Strafverfolger ihn nicht festnehmen.

Kaseya-Hack
„REvil“ hatte sich Anfang Juli zur Ransomware-Attacke auf den US-amerikanischen IT-Dienstleister Kaseya bekannt. In einem Blogeintrag fordert die Gruppe 70 Millionen Dollar Lösegeld für die Entschlüsselung der gekaperten Daten. Der Angriff hatte eine Art Domino-Effekt ausgelöst, den unter anderem auch die Supermarktkette Coop in Schweden zu spüren bekam. Weil die Kassensysteme nicht mehr funktionierten, mussten rund 800 Filialen geschlossen werden.

Wenige Wochen zuvor hatte die Gruppe den weltgrößten Fleischkonzern JBS angegriffen. Das Unternehmen musste als Folge für mehrere Tage Werke unter anderem in den USA schließen. JBS zahlte den Angreifern umgerechnet elf Millionen Dollar in Kryptowährungen.