Schlag gegen international agierendes Netzwerk von Cyber-Kriminellen

In Zusammenarbeit mit Europol, dem Federal Bureau of Investigation (FBI), der niederländischen und der ukrainischen Polizei, ist den Spezialisten der Polizei NRW unter Führung des Landeskriminalamtes Nordrhein-Westfalen (LKA NRW) ein Schlag gegen ein international agierendes Netzwerk von Internetkriminellen gelungen. Unter Leitung der Zentral- und Ansprechstelle Cybercrime (ZAC NRW) durchsuchten die Ermittler letzten Dienstag zeitgleich mehrere Objekte in Deutschland und der Ukraine.

Drei Jahre Ermittlungen gegen Cyber-Kriminelle

Seit Juni 2020 sind die Cybercrime-Spezialisten des LKA NRW den international agierenden Cyber-Kriminellen auf der Spur. Die eigens eingerichtete Ermittlungskommission (EK) „Parker“ konnte nun die Drahtzieher sowie weitere Mitglieder der Ransomware-Gruppierung „DoppelSpider“/“DoppelPaymer“ identifizieren und im Rahmen einer gezielten Aktion zeitgleich Durchsuchungsbeschlüsse in Deutschland und der Ukraine vollstrecken.

Die kriminelle Gruppe, die sich auch „Indrik Spider“ oder „Doppel Spider“ nennt, ist in Deutschland unter anderem für die Erpressung der Universitätsklinik Düsseldorf, die Cyberattacken gegen die Funke Mediengruppe und weiterer namhafter Unternehmen im Jahr 2020 verantwortlich.

Durch die Ermittlungskommission „Parker“ des LKA NRW zusammen mit der ZAC NRW werden zentral die Ermittlungen für alle bundesweiten Fälle geführt sowie die Ermittlungen gegen die Gruppierung zusammen mit Europol weltweit koordinierend geleitet.

Ransomware und Computersabotage

Die Vorwürfe lauten insbesondere auf gewerbsmäßige, digitale Erpressung und Computersabotage. Mit einer Schadsoftware, sogenannter Ransomware (BitPaymer, DoppelPaymer, PayOrGrief, Entropy) verschafften sich die Täter digitalen Zugang zu den Rechnern der betroffenen Unternehmen, griffen Daten ab und drohten anschließend mit der missbräuchlichen Nutzung, verbunden mit Geldforderungen. So wurden weltweit von über 600 Geschädigten teils bis zu zweistellige Millionenbeträge erpresst. Der erste bekannt gewordene Angriff dieser Art richtete sich im Mai 2017 gegen das Gesundheitswesen des Vereinigten Königreiches (UK). Es folgten weltweit weitere Cyberattacken auf die digitale Infrastruktur verschiedenster Firmen und Institutionen.

DoppelPaymer basiert auf der BitPaymer-Ransomware und gehört zur Dridex-Malware-Familie. Es verwendet ein einzigartiges Tool, das in der Lage ist, Verteidigungsmechanismen zu kompromittieren, indem es die sicherheitsrelevanten Prozesse der angegriffenen Systeme beendet. Die DoppelPaymer-Angriffe wurden durch die weit verbreitete EMOTET-Malware ermöglicht.

Die Ransomware wurde über verschiedene Kanäle verbreitet, unter anderem über Phishing- und Spam-E-Mails mit angehängten Dokumenten, die bösartigen Code – entweder JavaScript oder VBScript – enthielten. Die kriminelle Gruppe, die hinter dieser Ransomware steckt, setzte auf ein doppeltes Erpressungsschema und nutzte eine von den kriminellen Akteuren Anfang 2020 eingerichtete Leak-Website. Den deutschen Behörden sind 37 Opfer dieser Ransomware-Gruppe bekannt, allesamt Unternehmen. Einer der schwersten Angriffe richtete sich gegen das Universitätsklinikum in Düsseldorf. In den USA haben die Opfer zwischen Mai 2019 und März 2021 mindestens 40 Millionen Euro gezahlt.

Objekte in NRW und Ukraine durchsucht

Bei einer Aktion am Dienstag, 28.02.2023, durchsuchte die EK „Parker“ mehrere Objekte in NRW, während zeitgleich Ermittler in der Ukraine gegen identifizierte Angehörige des Netzwerkes vorgingen. Darüber hinaus erließ die ZAC NRW Haftbefehle gegen mutmaßliche Drahtzieher der kriminellen Gruppierung mit Bezügen nach Russland. Mit Haftbefehlen suchen die Strafverfolgungsbehörden nun weltweit nach zunächst drei Verdächtigen.

Internationale Haftbefehle gegen drei Hauptverdächtige

lgor Olegovich Turashev steht im Verdacht, eine wesentliche Rolle, bei Cyberattacken auf deutsche Unternehmen gespielt zu haben. Der Gesuchte fungierte als Administrator der für die Angriffe genutzten IT-Infrastruktur und Malware.

Irina Zemlianikina zeichnet nach derzeitigen Ermittlungen ebenfalls mitverantwortlich für mehreren Cyberattacken auf deutsche Unternehmen. Sie administrierte insbesondere die genutzten Chat- und Leakingseiten, die für die Kommunikation der Täter mit ihren Opfern und zur Veröffentlichung gestohlener Daten dienten. Sie versendete auch E-Mails mit Malware im Anhang, um so Systeme mit Verschlüsselungssoftware zu infizieren.

Igor Garshin (alternativ: Garschin) steht im Verdacht, durch Ausspähen, Infiltrieren sowie die finale Verschlüsselung von Daten, einer der Hauptverantwortlichen für die Cyber-Angriffe nicht zuletzt auch auf deutsche Unternehmen zu sein.

Cybercrime ist international – die Ermittlungen auch

„Das Verfahren zeigt, dass Cybercrime internationale Kriminalität ist – und zwar auf Seiten der Täter wie der Opfer. Täter greifen weltweit Infrastrukturen an, um Lösegelder für Daten zu erpressen.Der jetzige Ermittlungserfolg zeigt aber auch, dass wir als Strafverfolger international handlungsfähig sind.“

Markus Hartmann, Leiter der ZAC NRW

An den Ermittlungen und den operativen Maßnahmen sind neben Europol und dem FBI auch die High-Tech Crime Unit der niederländischen Polizei und die Polizei in der Ukraine entscheidend beteiligt. Die Ermittlungskommission „Parker“, angesiedelt bei der Abteilung „Cybercrime“ des LKA NRW führt ihre Ermittlungen in guter Zusammenarbeit mit Sicherheitsbehörden weltweit fort im Kampf gegen Internetkriminalität.

Kein rechtsfreier Raum

Die Polizei NRW und das LKA NRW stellen sich – weltweit vernetzt – wirkungsvoll dem internationalen Kampf gegen diese Verbrechen.

„Das Internet ist kein rechtsfreier Raum.Die Polizei NRW habe dabei aber insbesondere bei der Wirtschaft immer noch mit Befürchtungen und Vorurteilen zu kämpfen. … Wir helfen den Unternehmen im Rahmen unserer Aufgaben und der Gefahrenabwehr bei der Bewältigung der Angriffe und unterstützen dabei, die Ausbreitung der Schäden zu verringern. Eine nicht angezeigte Straftat schützt jedoch die Täter und hat in der Wahrnehmung nicht stattgefunden.“

Kriminaldirektor Dirk Kunze, des Dezernats 42 der Abteilung für „Cybercrime“-Ermittlungen,

Der Direktor des LKA, Ingo Wünsch, begleitete die operativen Maßnahmen seiner EK „Parker“ in der vergangenen Woche eng. Neben der großen Anerkennung für die in seinem Haus geleistete Ermittlungsarbeit und die Zusammenarbeit mit Sicherheitsbehörden weltweit stellt er fest:

„Täter können sich sicher sein, dass die Bekämpfung dieser Kriminalität nicht an den Grenzen aufhört, sondern grenzüberschreitend – eben – international erfolgt.“

Aber auch Ermittlungserfolge ändern nichts an der immer noch anhaltenden Gefahr durch Cyberangriffe. Wünsch:

„Firmen, Institutionen und Behörden müssen ihre digitale Welt schützen, das bedeutet nicht nur faktisch begreif- und angreifbare Zugangstore und -türen sichern, sondern auch digitale Tore und Türen!“

„Europe’s most wanted“

Mit Unterstützung des BKA und Europol sucht die Polizei nun nach den oben genannten Verdächtigen im Rahmen einer weltweiten Öffentlichkeitsfahndung.

• Turashev: https://polizei.nrw/fahndung/100196
• Zemlianikina: https://polizei.nrw/fahndung/100197
• Garshin: https://polizei.nrw/fahndung/100198

Europol hat die Cyber-Kriminellen auf ihre „Europe’s most wanted“ – Liste gesetzt https://eumostwanted.eu/de

Für weitere Informationen zum Thema Cyber-Ermittlungen besuchen Sie gern folgende Seiten: https://lka.polizei.nrw/artikel/lagebild-cybercrime https://www.justiz.nrw.de/JM/schwerpunkte/zac/

Quelle:

Landeskriminalamt NRW Europol

Schon gelesen? Facebook-Nutzer werden mit einer gefälschten Kindesentführung hinters Licht geführt. Angeblich wird die kleine Emilia vermisst. Doch Achtung: Es handelt sich dabei um eine Fake-Vermisstenanzeige. Am Ende lauert der Verlust des Facebook-Accounts.Mimikama warnt: Betrüger täuschen Kindesentführung auf Facebook vor.