15 Server abgeschaltet

Europol zerschlägt für Ransomware genutztes VPN

(Bild: APA/AFP/ANP/Remko de Waal)

Europol-Ermittler haben ein Netzwerk von Cyberkriminellen unschädlich gemacht und Schäden in Millionenhöhe verhindert. In zehn Ländern seien 15 Server ausgeschaltet worden, die die Anonymität von Kriminellen im Internet gesichert hätten, teilte die Polizeibehörde in Den Haag mit. Ausgangspunkt der Ermittlungen war laut der federführenden Polizeidirektion Hannover ein Ransomware-Angriff auf die Stadtverwaltung von Neustadt am Rübenberge von 2019.

Weltweit seien verschiedene Behörden beteiligt gewesen. Laut Europol nutzten Kriminelle die Infrastruktur des Dienstes VPNLab.net für Cyber-Verbrechen. VPN („virtual private network“ oder „virtuelles privates Netzwerk“) bietet die Möglichkeit, über zwischengeschaltete Server anonym zu kommunizieren - ohne dass Außenstehende Einblick haben.

Die Aktion fand bereits am Montag statt. Beteiligt waren neben der Polizeidirektion Hannover und der Staatsanwaltschaft Verden unter anderem Europol und die europäische Justizbehörde Eurojust, die Kontakt zu Ermittlern etwa aus den Niederlanden, Kanada, der Tschechischen Republik, Frankreich, Ungarn, Lettland und der Ukraine herstellte. Außerdem waren das FBI in den USA sowie Ermittler in Großbritannien beteiligt.

Ransomware-Attacke traf Stadt nahe Hannover
Zu den bekannten Opfern von Cyberkriminalität zählte 2019 die Stadtverwaltung von Neustadt am Rübenberge in der Region Hannover, wo Elterngeldanträge, Baupläne und vieles mehr verschlüsselt wurden. Die Verwaltung der rund 45.000 Einwohner zählenden Stadt konnte einzelne Dienstleistungen bis ins erste Quartal 2020 daher nicht anbieten. Neben Kommunen sind auch Unternehmen betroffen. Das Ziel der Kriminellen: Gegen Lösegeld werden die Daten wieder freigegeben.

Mit Ransomware verschlüsseln Cyberkriminelle wichtige Daten. Zugriff erhält das Opfer erst wieder nach der Zahlung eines Lösegelds.

(Bild: ©zephyr_p - stock.adobe.com)

VPNLab.net bestand nach Angaben von Europol seit 2008. Der Dienst war „besonders populär bei Cyber-Kriminellen“, wie Europol mitteilte. Der Grund: er bot auch eine doppelte VPN-Lösung mit Servern in mehreren Ländern an. Damit hätten die Dienste genutzt werden können, um Verbrechen zu begehen - ohne Angst, von den Behörden entdeckt zu werden.

Grundsätzlich werden VPN-Dienste von vielen Anbietern weltweit angeboten und freilich auch für legale Zwecke genutzt, etwa um sich im Internet vor Nachverfolgung zu schützen oder IP-adressenbasierte Länderbeschränkungen (Geoblocking) zu umgehen. VPNLab.net geriet aber durch Aktivitäten von Cyberkriminellen ins Visier der Ermittler.

„Ryuk“-Ransomware nutzte VPNLab-Infrastruktur
Europol schätzt, dass schwere Cyber-Attacken verhindert werden konnten. Bei einer über die Server verschickte Schadsoftware handle es sich etwa um „Ryuk“ - eine sogenannte Ransomware, die von Kriminellen genutzt werde, um Behörden, Firmen und Einrichtungen zu attackieren und Lösegeld zu erpressen, teilte die Polizei mit. Bei Angriffen mit dieser Schadsoftware verursachten die Täter immer wieder Schäden in Millionenhöhe.

Gelangt “Ryuk“ auf einen Computer oder in ein Netzwerk, verschlüsselt es wichtige Daten. Auf dem Endgerät wird ein Text mit einer Lösegeldforderung angezeigt. Nicht physisch vom infizierten Gerät oder Netzwerk entkoppelte Backups werden ebenfalls verschlüsselt oder gelöscht. Die Schadsoftware zu entfernen oder das System auf einen Zeitpunkt vor dem Angriff zurückzusetzen, führt dazu, dass auch bei einer Zahlung die Dateien nicht mehr entschlüsselt werden können.

Dringt die Software in ein Netzwerk ein, kann sie nach Polizeiangaben sogar ausgeschaltete Rechner über das Netzwerk einschalten, um sie zu infizieren. Der Angriff erfolge meist per Phishing-Mail - eine E-Mail mit einem Link oder einer Datei im Anhang. „Ryuk“ werde auch als Service angeboten - eine kriminelle Gruppe biete es einer anderen an und werde prozentual an der erpressten Beute beteiligt.