Das Bundeskriminalamt Deutschland (BKA) hat zwei russische Staatsbürger als die angeblichen Führer hinter einigen der solidesten Ransomware-Operationen zwischen 2019 und 2021 identifiziert. Nach den von der Institution selbst veröffentlichten Tatsachenblättern sind diese Daniil Maksimovich Schchukin 31 Jahre und Anatoly Sergeevitsch Krawtschuk 43. Die BKA-Forschung legt ihre Tätigkeit an der Spitze der GandCrab und der REvil Malware-Familien von mindestens Anfang 2019 bis Juli 2021.
Der Hintergrund dieser Bands hilft zu verstehen, warum sich internationale Aufmerksamkeit auf sie konzentriert. GandCrab brach im Jahr 2018 und, nach Monaten der Erpressung und einem Affiliate-basierten Betriebsmodell, sein angeblicher Kopf kündigte eine "Retirement" in 2019. Dieses Ende des Zyklus wurde nicht inokuliert: in seinem Rückzug rühmte es sich von Millionen von Gewinnen, und kurz nach dem es auf den Teufel (auch bekannt als Sodinokibi), gebildet von ehemaligen Affiliate und Betreibern, die Taktiken und kommerzielle Strukturen erben.
Das Geschäftsmodell dieser Gruppen war einfach und effektiv: Rekrutierung von Mitgliedern, Bereitstellung einer Infrastruktur und Aufladung einer Provision auf jede Rettung. Mit der Zeit erweiterte REvil seine Taktik, um die Opfer zu unterdrücken: Neben der Verschlüsselung von Systemen veröffentlichten sie Daten auf Filterplätzen und organisierten gestohlenen Informations-Auktionen, eine Praxis, um Zahlungen zu zwingen, auch wenn die Verschlüsselung rückgängig gemacht werden könnte.
Die Folgen in Deutschland waren laut BKA besonders gravierend: Die Forscher würdigen Shchukin und Kravchuk die Teilnahme an mindestens 130 Fällen der Erpressung an lokalen Unternehmen. Davon entfielen mindestens 25 Opfer auf Zahlungen in Höhe von etwa 2,2 Millionen Dollar, während der Gesamtschaden ihrer Kampagnen auf über 40 Millionen Dollar geschätzt wird. Die globale Größe des Teufels wird jedoch besser geschätzt, indem man sich an internationale Vorfälle wie Angriffe auf lokale Regierungen in Texas, die Einmischung gegen Acer oder vor allem an den massiven Vorfall gegen die Kaseya VSA-Management-Plattform erinnert, die einen Domino-Effekt in etwa 1.500 Kundenorganisationen hervorbrachte.
Die Abfolge zwischen GandCrab und REvil zeigt auch, wie sich eine Cybermafia entwickeln kann: GandCrab beendete seine Bühne mit dem Versprechen eines Rückzugs nach einem angeblichen Millionär-Loot, und REvil nutzte die Erfahrung seiner Affiliate, um das kriminelle Angebot zu professionalisieren und zu einem der lukrativen und sichtbarsten Operationen des Jahrzehnts zu werden. Um die Schwere der Kampagne gegen Kaseya und ihre Auswirkungen auf die Lieferkette zu kontextualisieren, gibt es technische Berichte und Mitteilungen von Agenturen wie CISA während das journalistische Detail der Bewegungen und Aussagen der Gruppen in spezialisierten Medien wie BlepingComputer.
Nach der intensivsten Tätigkeit des Teufels im Jahr 2021 und den Auswirkungen von Operationen wie Kaseya begannen die Strafverfolgungskräfte ihre Infrastruktur zu stören. Manchmal gab es Unterbrechungen von Servern und Aktionen, die von verschiedenen Ländern koordiniert wurden, und im Januar 2022 gab es Verhaftungen in Russland, die mehrere Verdächtige im Zusammenhang mit dem Netzwerk betrafen; es gibt jedoch Berichte, die darauf hindeuten, dass nach dem Servieren von Sätzen für verschiedene Verbrechen, wie z.B. Kardierung, spätere Veröffentlichungen gemeldet wurden.
Die BKA weist darauf hin, dass beide wahrscheinlich derzeit auf russischem Gebiet sind und die Bürgerkollaboration gebeten hat, Hinweise über ihren Aufenthaltsort zu sammeln. Zu diesem Zweck haben die deutschen Polizei öffentliche Fotos gemacht und Details, einschließlich Tattoos, mit der Absicht, ihren Standort zu erleichtern. Außerdem wurden Tickets für das begehrteste europäische Portal geschaffen, um die internationale Sichtbarkeit der Suche zu erhöhen, zum Beispiel in EU am meisten gesuchte Seite.
Jenseits spezifischer Individuen bringt dieser Fall auf die zwei unangenehmen Realitäten zurück: die Professionalisierung von Cyberkriminalität und die Schwierigkeit der legalen Verantwortung für seine Täter, wenn sie aus Ländern operieren, die aus verschiedenen Gründen nicht vollständig mit der internationalen Forschung zusammenarbeiten. Da die Polizeibehörden Daten austauschen und die Zusammenarbeit von Bürgern fordern, stehen Unternehmen und Verwaltungen weiterhin vor der Notwendigkeit, in vorbeugende Maßnahmen und Reaktionspläne zu investieren, die die Einhaltung von Kautionen reduzieren.
Die Lektion Es ist zweifach: Auf der einen Seite können Verfolgung und internationale Zusammenarbeit angebliche Täter identifizieren und ihre Operationen beeinflussen; auf der anderen macht die Architektur von Computerkriminalität - Affiliate, Servicemärkte und der Austritt von Geld durch undurchsichtige Kanäle - das Risiko auch dann bestehen, wenn bestimmte Führer ausgesetzt sind. Für diejenigen, die die Sicherheit in Organisationen verwalten, ist die Botschaft klar: die Stärkung von Kopien, die Segmentierung von Netzwerken und die Vorbereitung von Kontingenzplänen ist keine gute Praxis mehr, die erste Verteidigungslinie gegen immer anspruchsvollere Operationen zu werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...