Die deutschen Behörden haben zwei russische Staatsbürger als mutmaßliche Drahtzieher der Ransomware-Gruppen GandCrab und REvil identifiziert. Sie sollen hinter dem berüchtigten Cyberangriff auf den Softwareanbieter Kaseya stecken. Das BKA hat Fotos der beiden Verdächtigen veröffentlicht.

In einem seltenen öffentlichen Fahndungsaufruf hat das Bundeskriminalamt (BKA) die Identität des Duos bekannt gegeben.

Daniil Maksimovich Shchukin, blond und blauäugig, 31 Jahre alt, soll unter dem Pseudonym „UNKN“ (oder „UNKNOWN“) operiert haben. Der 43-jährige Anatoly Sergeevitsch Kravchuk hat braune Haare und Augen und trägt ein markantes Tattoo.

Kravchuk soll eine zentrale technische sowie leitende Rolle in derselben kriminellen Organisation gespielt haben.

Laut dem BKA und der Staatsanwaltschaft Baden-Württemberg hätten die beiden zwischen Anfang 2019 und mindestens Juli 2021 Ransomware-Kampagnen geführt und allein in Deutschland etwa 130 Organisationen angegriffen. Mindestens 25 Opfer hätten dabei rund 1,9 Millionen Euro Lösegeld gezahlt; der Gesamtschaden übersteige 35 Millionen Euro.

Ihre Aktivitäten stehen zudem mit aufsehenerregenden weltweiten Angriffen in Verbindung: darunter ein Angriff auf den IT-Konzern Acer, mehrere Kommunalverwaltungen in Texas sowie der Angriff auf die Infrastruktur des Softwareunternehmens Kaseya, der 2021 weltweit über 1500 Unternehmen lahmlegte.

Öffentliche Fahndungshinweise und Berichte über die Ermittlungen, darunter eine Berichterstattung von Krebs on Security, identifizieren Shchukin als die Person hinter dem Alias „UNKN“. Er sei das öffentliche Gesicht der Ransomware-Gruppen gewesen.

Pioniere der doppelten Erpressung

Ihr Vorgehen folgte einem doppelten Erpressungsmodell, das vielen heutigen Ransomware-Angriffen als Vorlage dient: eindringen, Daten stehlen, Systeme verschlüsseln und anschließend eine Zahlung für die Entschlüsselung sowie für das Zurückhalten der gestohlenen Informationen verlangen.

GandCrab, ein Ransomware-as-a-Service-Angebot, das Anfang 2018 auftauchte, ermöglichte es Partnerangreifern, die Schadsoftware gegen eine Gewinnbeteiligung einzusetzen.

Dieses Modell erwies sich für die Betreiber als äußerst einträglich: GandCrab soll Lösegeldforderungen von bis zu zwei Milliarden US-Dollar generiert haben, bevor die Gruppe sich abrupt in den „Ruhestand“ verabschiedete.

„Wir gehen in einen wohlverdienten Ruhestand“, schrieben sie damals in einem Abschiedspost: „Wir haben bewiesen, dass böse Taten keine Vergeltung nach sich ziehen.“

Die Betreiber fügten hinzu, sie hätten persönlich rund 150 Millionen US-Dollar abgeschöpft, die angeblich in seriöse „weiße“ Unternehmen reinvestiert worden seien. Belege dafür wurden jedoch nie vorgelegt, und die Behauptung ist unabhängig nicht bestätigt.

Der Ruhestand währte allerdings nicht lange: Bald darauf tauchte eine neue Gruppierung namens REvil (auch bekannt als Sodinokibi) auf, die Sicherheitsforscher weitgehend als Fortsetzung oder Neuausrichtung von GandCrab betrachten.

REvil-Zerschlagung folgte auf den Kaseya-Angriff

Nach demselben Muster aufgebaut, agierte REvil noch skrupelloser und aggressiver: Die Gruppe führte Leak-Seiten und Datenauktionen ein, die sich schnell als weiteres bewährtes Druckmittel krimineller Angreifer gegen ihre Opfer etablierten.

Im Zuge des Kaseya-Angriffs gelang es Strafverfolgungsbehörden, Teile der REvil-Infrastruktur zu unterwandern. Anfang 2022 verhafteten russische Behörden in einem ungewöhnlichen Schritt mehrere mutmaßliche Mitglieder der Gruppe öffentlichkeitswirksam, doch die Hauptverantwortlichen blieben vorerst unbehelligt.

Die deutschen Ermittler gehen davon aus, dass sich beide Verdächtigen weiterhin in Russland aufhalten, und setzen nun auf die Mithilfe der Bevölkerung. Das BKA hat Fotos veröffentlicht, darunter Nahaufnahmen markanter Merkmale wie Tätowierungen, in der Hoffnung, dass jemand die Männer erkennt und Hinweise auf ihren Aufenthaltsort liefern kann.

---

Entdecke weitere exklusive Cybernews-Reportagen bei YouTube.