115 Jahre Haft für REvil-Gangster?
Weltweite Polizeiaktionen gegen Ransomware-Erpresser
US-Generalstaatsanwalt Merrick Garland Bildquelle: US Department of Justice
Eine mögliche Höchststrafe von 115 bzw. 145 Jahren Gefängnis stellte das US-Justizministerium zwei Hackern in Aussicht. In einer am 8. November veröffentlichten Erklärung werden der 22-jährige Ukrainer Jaroslaw Wassinski und der 28 Jahre alte Russe Jewgeni Poljanin als Hauptbeschuldigte genannt. Die beiden sind des Einsatzes von Sodinokibi/REvil-Ransomware zum Angriff auf Unternehmen und Regierungsstellen in den Vereinigten Staaten angeklagt.
Gleichzeitig gab das Justizministerium in Washington bekannt, dass es gelungen sei, 6,1 Millionen US-Dollar (ca. 5,3 Mio. Euro), die aus Lösegeldzahlungen stammen, sicherzustellen. Wassinski war am 8. Oktober am polnisch-ukrainischen Grenzübergang in Dorohusk festgenommen worden. Er betreibt seit drei Jahren ein IT-Unternehmen im polnischen Lublin und befindet sich nunmehr in Haft. Der US-Generalstaatsanwalt Merrick Garland teilte mit, die USA hätten die Auslieferung des Verdächtigen beantragt. Poljanin befindet sich noch auf freiem Fuß und hält sich nach Vermutungen der US-Ermittler in Barnaul in der Region Altai, nahe der Grenze zu Kasachstan auf. Bis dato sei die REvil-Ransomware für Angriffe auf weltweit 175.000 Computer mit mindestens 200 Millionen Dollar Lösegeld eingesetzt worden, erläuterte Garland.
FBI lobt „vorbildliche Zusammenarbeit“
Die polnische Polizei nahm Wassinski aufgrund eines im August von den US-Behörden ausgestellten internationalen Haftbefehls fest. „Die Polen waren wirklich toll und haben uns sehr geholfen. Diese ganze Aktion ist ein Beispiel für eine vorbildliche Zusammenarbeit der Alliierten“, lobte FBI-Direktor Christopher Wray.
REvil – auch bekannt als Sodinokibi – gilt als eine der produktivsten und profitabelsten Cyberkriminellen-Gruppen der Welt. Die Bande wurde vom FBI für einen Hack im Mai verantwortlich gemacht, der den Betrieb von JBS - dem weltgrößten Fleischlieferanten - lahmlegte. JBS, mit Hauptsitz in Greeley im US-Bundesstaat Colorado, hat umgerechnet elf Millionen US-Dollar (etwa 9,6 Mio. Euro) Lösegeld in der Kryptowährung Bitcoin gezahlt, um den existenzbedrohenden Cyberangriff zu beenden. REvil wird auch mit einem koordinierten Angriff auf fast zwei Dutzend lokale Verwaltungen in Texas im Jahr 2019 in Verbindung gebracht.
Den Namen für die Cyberattacken von REvil gab die Attacke vom 2. Juli 2021 auf das in Miami, US-Bundesstaat Florida, ansässige IT-Unternehmen Kaseya, das Software zur Verwaltung von Netzwerken und IT-Infrastrukturen entwickelt. Die Ransomware der Kaseya-Attacke gelangte über einen kompromittierten Virtual System Administrator (VSA) in das System des Unternehmens. Ein VSA ist eine Software von Kaseya, die zur Überwachung und Verwaltung der Systeme mehrerer Unternehmen verwendet werden kann. Infolgedessen wurden viele Unternehmen auf der ganzen Welt von der Schadsoftware betroffen.
Auch der norwegische Managed Service Provider (MSP) Visma wurde zusammen mit Coop, einem schwedischen Supermarkt, lahmgelegt. Infolgedessen schloss Coop eine ganze Woche lang rund 800 Geschäfte. Der Kaseya-Angriff lähmte die Systeme von etwa 1500 Unternehmen auf der ganzen Welt. Für die Wiederaufnahme des normalen Betriebs habe REvil von den Opfern ein Lösegeld in Höhe von insgesamt rund 70 Millionen Euro erhalten, heißt es.
Laut Anklageschrift war es Wassinski, der sich zwischen März 2019 und August 2021 in den USA aufhielt, gelungen, einen Zugang zu den internen Computernetzwerken von Kaseya zu verschaffen. Danach installierte er die Schadsoftware, die die Daten verschlüsselte.
Festnahmen auch in Rumänien
Im selben Verfahrensgegenstand, der Bekämpfung der Cyberkriminalität mit der Ransomware Sodinokibi/REvil, führte die rumänische Direktion für die Untersuchung von organisierter Kriminalität und Terrorismus (DIOCT) und die Polizei am 4. November in der Hafenstadt Constanța am Schwarzen Meer vier Hausdurchsuchungen durch. Am selben Tag ordnete das Bukarester Gericht die präventive Festnahme von zwei Verdächtigen für 30 Tage an. Beide Festgenommenen sollen für 5.000 Ransomware-Infektionen verantwortlich sein und dabei fast 500.000 Euro Lösegeld ergaunert haben. Die europäische Strafverfolgungsbehörde Europol betonte in einer Pressemitteilung, die Festnahmen seien das Ergebnis der „Golden Dust Operation“, an der die internationalen Organisationen Europol, Eurojust, Interpol sowie Behörden aus 17 Ländern beteiligt gewesen seien.
Zeitgleich mit den Festnahmen in Constanța wurde ein GandCrab-Mitglied in Kuwait verhaftet. GrandCrab ist ein Verschlüsselungstrojaner für Microsoft Windows, mit dem eine ähnliche Vorgehensweise wie bei REvil verbunden ist. In den Monaten Februar, April und Oktober klickten bei drei REvil- und GandCrab-Mitgliedern in Südkorea die Handschellen. Die Ermittler gehen davon aus, dass die weltweiten Fahndungserfolge die Szene der Cyber-Erpresser nachhaltig verunsichert.
Ransomware-Kriminelle in der Ukraine festgesetzt
In einer konzertierten Aktion der Strafverfolgungsbehörden unter Koordination durch Europol und Interpol konnten bereits am 28. September 2021 zwei mutmaßliche Operateure aus dem Bereich der Ransomware-Kriminalität in der Ukraine festgesetzt werden. Den Beschuldigten wird vorgeworfen, Firmen in Europa und in den USA mit Ransomware infiziert und dann Lösegeld erpresst zu haben.
In einer Verlautbarung von Europol heißt es, dass am 28. September 2021 eine koordinierte Aktion der französischen Gendarmerie (Gendarmerie Nationale) und der US-Bundespolizei FBI zu Verhaftungen durch die ukrainische Nationalpolizei geführt habe. Geführt wurde die Operation von Europol und Interpol.
Bei der Aktion der ukrainischen Polizei ging es um sieben Hausdurchsuchungen (bei nahen Verwandten des verhafteten Haupttäters), dabei kam es zu zwei Verhaftungen. Bei den Hausdurchsuchungen wurden 375 000 US-Dollar in bar, zwei Luxusfahrzeuge im Wert von 217 000 Euro beschlagnahmt sowie Vermögenswerten in Höhe von 1,3 Millionen Dollar in Kryptowährungen „eingefroren“.
Zehn Millionen US-Dollar Kopfgeld
Die US-Behörden haben nunmehr eine Belohnung in Höhe von zehn Millionen Dollar für Informationen über Personen ausgesetzt, die eine Schlüsselrolle in der Hackergruppe REvil spielen, so die Pressestelle des US-Außenministeriums in einer am 8. November veröffentlichten Erklärung. Darüber hinaus sei die Behörde bereit, „bis zu fünf Millionen Dollar für Informationen zu zahlen, die die Verhaftung und/oder Anklageerhebung in einem beliebigen Land gegen Personen ermöglichen, die sich zur Teilnahme an der Sodinokibi-Ransomware verschworen oder dies versucht haben“.
Ebenfalls zehn Millionen Dollar sind die US-Behörden willens an diejenigen zu zahlen, die wichtige Informationen über die Anführer der Cybergangster von DarkSide teilen, die in diesem Frühjahr das Pipeline-Unternehmen Colonial Pipeline angegriffen haben.
Das US-Finanzministerium gab an, dass Ransomware-Zahlungen in den Vereinigten Staaten im ersten Halbjahr 2021 bereits die Höhe von 590 Millionen US-Dollar erreichten, verglichen mit insgesamt 416 Millionen im Jahr 2020.
Mehr Artikel vom Autor
Peter Niggl
Peter Niggl, Journalist und Chefredakteur der Fachzeitschrift Security Insight