Die deutschen Forscher haben zwei Männer benannt und konfrontiert, die in den letzten Jahren zwei der beunruhigendsten Ransomware-Kampagnen sind. Nach Angaben des Bundesverbrecheramtes Deutschland (BKA) sind die angeblichen Führer Daniil Maksimovich Schchukin 31 Jahre und Anatoly Sergeevitsch Krawtschuk 43. Die Institution behauptet, dass beide, zwischen Anfang 2019 und mindestens Juli 2021, Operationen hinter den Namen GandCrab und REvil, zwei Ransomware Familien, die eine Zeit für ihren Umfang und ihr kriminelles Geschäftsmodell markiert.
Die Schwerkraft des Falles wird sowohl durch die Anzahl der Angriffe als auch durch den wirtschaftlichen Schaden gemessen. Die BKA tritt diesen Individuen an mindestens 130 an Unternehmen in Deutschland gerichteten Erpressungen zu; mindestens 25 Opfer hätten sie für insgesamt etwa 2,2 Mio. $ ausgezahlt, während der durch ihre Handlungen verursachte allgemeine wirtschaftliche Schaden nach den von den Behörden angebotenen Zahlen auf über 40 Mio. $ geschätzt wird.
Um zu verstehen, warum diese Gruppen so effektiv waren, ist es wichtig, zurück zu den Ursprüngen. GandCrab erschien Anfang 2018 und nach ein paar Jahren Tätigkeit kündigte sein Hauptbetreiber seinen Rücktritt im Jahr 2019 an, weil er während seiner Flugbahn enorme Einnahmen erzielt hatte. GandCrabs Strategie - und die Lektion, die er online organisierte Kriminalität überlassen hat - war, das Affiliate-Modell zu verfeinern: ein zentraler Entwickler, der den Code und die Infrastruktur bereitstellt, und ein Netzwerk von Affiliate, die Netzwerke infiltrieren und die Angriffe ausführen. Auf dieser Grundlage wurde Revil (auch bekannt als Sodinokibi) geboren, weitgehend aus ehemaligen GandCrab Affiliate, die Taktiken und Kontakte bewegt.
Revil kletterte die Erpressung durch die Hinzufügung öffentlicher Drucktaktiken, die es zu einer globalen Bedrohung machten. Neben der Dateiverschlüsselung verwaltete die Gruppe öffentliche Standorte, wo sie gestohlene Daten und sogar versteigerte sensible Informationen, um Opfer zu zahlen zwingen. Unter seinen Zielen waren lokale Regierungen in Texas, große Unternehmen wie Acer und eine Supply-Chain-Angriff auf Kaseya, die etwa 1.500 Kundenorganisationen von Zwischenlieferanten betroffen, ein Vorfall, der die Fragilität der hochvernetzten Geschäftsökosysteme offenbart. Die Folgen dieser Angriffswelle spiegelten sich in mehreren Sicherheitswarnungen und -analysen wider, einschließlich der von Agenturen wie CISA veröffentlichten und auf Cybersicherheit spezialisierten ( Gemeinsame Bekanntmachung über Sodinokibi / REvil und ausführliche Erfassung des Kaseya-Vorfalls in Krebs auf Sicherheit)
Die Popularität des Teufels führte zu einer erzwungenen Pause nach dem großen Angriff auf Kaseya: Operationen hielten an und während dieser Zeit erhielten verschiedene Polizeikräfte Zugang zur Infrastruktur und überwachten die Aktivität. Seitdem fanden Untersuchungen und Verhaftungen in mehreren Ländern statt, darunter eine Reihe von Verhaftungen in Russland und koordinierte Bewegungen internationaler Behörden. Dieser Polizeidruck zeigte, dass das kriminelle Netzwerk verletzliche Punkte hatte, aber auch die Grenzen der internationalen justiziellen Zusammenarbeit hervorgehoben, wenn die angeblichen Täter in schwierigen Gerichtsbarkeiten aus dem Ausland leben ( Internationale Koordinierungsoperationen und journalistische Nachfolge auf Razzien).
In seiner Erklärung sagt BKA, dass beide Verdächtigen angeblich in Russland sind und fordert die Zusammenarbeit der Bürger auf, sie zu lokalisieren. Um die Identifizierung zu erleichtern, haben sie Fotos und physikalische Details, einschließlich Tattoos, veröffentlicht und Einträge zum europäischen Portal der gesuchten Personen ( Die am meisten gesuchte EU) Die Veröffentlichung dieser Art von Daten ist eine doppelte Absicht: Zeugen zu suchen und gleichzeitig die Fähigkeit zur Straflosigkeit von Gruppen zu reduzieren, die Cyberkriminalität zu einem internationalisierten Geschäft gemacht haben.
Jenseits der Jagd nach bestimmten Individuen lässt die Geschichte von GandCrab und REvil nützliche Lektionen für Unternehmen und Sicherheitsbeamte. Erstens, dass das Affiliate-Modell eine schnelle Verbreitung von Techniken erleichtert: wenn Werkzeuge und Kontakte in geheimen Foren zirkulieren, treten neue Akteure leicht auf. Zweitens erhöht die Kombination von Verschlüsselung und öffentlichem Zwang - Filter- oder Auktionsdaten - den psychologischen Druck auf die Opfer und erhöht die Zahlungswahrscheinlichkeit. Und drittens, dass Lieferketten bleiben ein kritischer Vektor: ein Angriff auf einen Lieferanten kann Tausende potenzieller Opfer innerhalb von Stunden kanalisieren.
Effektive Reaktionen sollten auch systemisch sein: Best Practices in Cyberhygiene, Netzwerksegmentierung, verifizierte Backups, bewährte Recovery-Pläne und eine flüssigere Zusammenarbeit zwischen dem privaten Sektor und den Behörden. Sicherheitsbehörden und Antwortgruppen geben Leitlinien aus, die jede Organisation zur Erhöhung ihres Verteidigungsniveaus konsultieren kann; Berichte und Mitteilungen von Einrichtungen wie CISA, Europol oder großen Sicherheitsfirmen sind gute Ausgangspunkte für die Aktualisierung technischer Richtlinien und Verfahren.
Was jetzt existiert, ist eine Mischung von operativen Fortschritten durch die Sicherheitskräfte und die Realität, dass viele der Gehirne hinter den Operationen noch nicht zu erreichen sind. BKA Forschung und öffentliche Verbreitung der Identifizierung von Daten versuchen, diesen Bereich der Straflosigkeit zu reduzieren aber sie erinnern sich auch daran, dass der Kampf gegen die Ransomware eine lange Aufgabe ist, die technische Intelligenz, internationale Zusammenarbeit und, nicht weniger wichtig, Geschäftsbewusstsein für die Risiken und Maßnahmen, die tatsächlich die Wahrscheinlichkeit des Opfers reduzieren.
Wenn Sie den technischen und rechtlichen Hintergrund dieser Episoden vertiefen möchten, können Sie die BKA-Erklärung zu den in den vorherigen Links aufgeführten Personen, die journalistischen Untersuchungen, die den Rückzug des ersten Führers von GandCrab und die technischen Analysen und offiziellen Mitteilungen, die die Taktiken des Teufels und die Folgen des Angriffs auf Kaseya dokumentiert, wie die von der BlepingComputer, Krebs auf Sicherheit und CISA technische Warnung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...