Ransomware: Deutsche Behörden identifizieren angeblich Mitglied der REvil-Gruppe

Deutsche Ermittlungsbehörden haben einem Medienbericht zufolge ein Kernmitglied der REvil-Gruppe identifiziert. Dass sie seiner habhaft werden, ist fraglich.

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen

(Bild: welcomia/Shutterstock.com)

Lesezeit: 3 Min.

Deutsche Strafverfolgungsbehörden haben angeblich einen mutmaßlichen Verantwortlichen für die Ransomware REvil, auch bekannt als Sodinokibi, identifiziert und einen Haftbefehl vorbereitet. Das berichtet unter anderem der Bayerische Rundfunk, laut dem Spuren des Verdächtigen im Internet selbst nachverfolgt wurden. Das LKA Baden-Württemberg sei dem Verdächtigen über Bitcoin-Zahlungen auf die Spur gekommen, die mit Ransomware-Attacken in Verbindung gestanden haben sollen.

Obwohl ein Haftbefehl vorbereitet sei, sei eine Gelegenheit ausgelassen worden, seine Festnahme und mögliche Auslieferung zu erreichen, heißt es noch. Der Russe sei in einem Urlaub in der Türkei gewesen, ohne dass ein Auslieferungsantrag gestellt wurde. Warum, sei unklar. Eine Anfrage von heise online an das LKA Baden-Württemberg und das BKA sind bislang unbeantwortet.

Die Ransomware-Gruppe REvil gehört in diesem Jahr zu denen, die am aggressivsten vorgehen und dabei besonders großen Erfolg haben. Ihren Erpressungstrojaner verbreitet die Gang in einem Geschäftsmodell, das sich als Ransomware-as-a-Service beschreiben lässt: Sie vermietet beziehungsweise lizenziert die von ihnen entwickelte Malware und die dazugehörige Entschlüsselungs- und Bezahlinfrastruktur an andere Kriminelle, sogenannte Affiliates oder Partner. Im Fall von REvil bekommen die Verantwortlichen dafür 30 Prozent der Erlöse der Partner. Welche Rolle der nun identifizierte Verdächtige in der REvil-Gruppe spielt, sei unklar, schreibt der BR. Aus den Strafverfolgungsbehörden sei aber zu hören, dass er "zweifelsfrei" zur Kerngruppe gehöre.

Bei dem Verdächtigen soll es sich um einen jungen Russen handeln, der in einem Haus mit Pool in einer südrussischen Großstadt lebt. Aus seinem Instagram-Profil gehe hervor, dass er Luxusurlaube in Dubai und auf den Malediven verbringe und beispielsweise 1300 Euro pro Tag für das Chartern einer Yacht ausgegeben habe. Zu sehen sei auch eine Uhr mit einem Kaufpreis in fünfstelliger Höhe, auf der das Bitcoin-Logo abgebildet ist. Auf alten Bildern des Verdächtigen sei dagegen keine Designerkleidung zu sehen, allein daran sei "der Aufstieg" zu sehen, wie es ein Ermittler ausgedrückt habe. Ob er Russland etwa für einen Urlaub noch mal verlassen werde und in den Einflussbereich deutscher Strafverfolgungsbehörden geraten könnte, ist mindestens zweifelhaft, legt der Bericht nahe. Zuletzt sei seine Ehefrau allein gereist.

Intern gibt es unter den Ermittlern und Ermittlerinnen demnach Frust, dass mit dem Erfolg nicht offensiver umgegangen werde, immerhin zeige der doch die eigene Leistungsfähigkeit. Ransomware war nach besonders folgenschweren Angriffen in den vergangenen Monaten zu einem Thema auch auf höchster politischer Ebene geworden. In den USA wird von erpressten Einnahmen in Höhe von Hunderten Millionen US-Dollar ausgegangen.

Gegen die REvil-Gruppe waren zuletzt aber offenbar auch die größten Erfolge erzielt worden; so war es in einer länderübergreifenden Aktion angeblich gelungen, die Gruppe selbst zu hacken und aus dem Netz zu drängen. In Russland haben REvil & Co. seit Jahren genügend Freiheiten, um ihre Machenschaften durchzuführen, eine gewisse Kontrolle durch Geheimdienste und Behörden gibt es aber wohl doch.

(mho)