Ransomware-Gruppe in der Ukraine zerschlagen

Unter der Leitung von Europol haben Ermittler aus der Ukraine, Norwegen, Frankreich, den USA und Deutschland in der Ukraine einen Ring von Cybererpressern zerschlagen. Bei Hausdurchsuchungen am 21. November, unter anderem in der ukrainischen Hauptstadt Kiew, wurde 30 Objekte durchsucht und fünf Verdächtige festgenommen.

In Haft befindet sich nun ein als Anführer der Gruppe eingestufter 32-Jähriger. Zudem gingen den Ermittlern vier seiner „aktivsten“ Komplizen ins Netz. Sie alle solle zu einer Gruppe von Cyberkriminellen gehören, die für Ransomware-Angriffe auf hochrangige Ziele in 71 Ländern verantwortlich sein sollen. Unter anderem sollen sie mit den Ransomware-Varianten LockerGoga, MegaCortex, Hive und Dharma den Geschäftsbetrieb mehrerer Unternehmen lahmgelegt haben.

Den Ermittlungen zufolge bedienten sich die Erpresser verschiedener Techniken, um in Unternehmensnetzwerke einzudringen, darunter SQL-Injections, Brute-Force-Angriffe und Phishing-E-Mails mit bösartigen Dateianhängen. Zudem sollen sie Schadsoftware und Werkzeuge wie TrickBot, Cobalt Strike und PowerShell Empire eingesetzt haben, um möglichst viele System zu kompromittieren und im Anschluss mit Ransomware zu verseuchen.

Schätzungen zufolge soll die Gruppe mehr als 250 Unternehmensserver verschlüsselt haben. Den dabei entstandenen Schaden beziffern die Ermittler mit mehreren Hundert Millionen Euro.

Die Zusammenarbeit der internationalen Polizeibehörden führte aber nicht nur zur Verhaftung der Tatverdächtigen. Behörden in der Schweiz gelang es außerdem, in Zusammenarbeit mit der Initiative No More Ransom und Bitdefender, Entschlüsselungstools für die Ransomware-Varianten LockerGoga und MagaCortex zu entwickeln. Beide sind kostenlos auf der Website von No More Ransom erhältlich.