Razzia bei "Doppel Spider" Ransomware-Gang-Mitgliedern in Deutschland und in der Ukraine

Die Strafverfolgungsbehörden bzw. die Polizei hat in Deutschland und in der Ukraine Razzien gegen Hintermänner der Ransomware-Gang "Doppel Spider" durchgeführt. Die Aktion fand wohl bereits am 28. Februar 2023 statt, wurde aber erst jetzt bekannt gegeben. Aktuell werden noch drei russischstämmige Verdächtige von internationalen Behörden gesucht. Deutschland und die Ukraine analysieren derzeit das bei den Razzien sichergestellte Beweismaterial, um weitere Mitglieder der Gruppe ausfindig zu machen und deren Rolle zu ermitteln.

Diese Ransomware tauchte 2019 auf, als Cyberkriminelle begannen, sie für Angriffe auf Organisationen, kritische Infrastrukturen und Branchen einzusetzen. Die Ransomware-Gruppe ist unter Namen wie Indrik Spider, Double Spider und Grief bekannt. Die Ransomware DoppelPaymer basiert auf der BitPaymer-Ransomware und gehört zur Dridex-Malware-Familie. Es verwendet ein einzigartiges Tool, das in der Lage ist, Verteidigungsmechanismen zu kompromittieren, indem es die sicherheitsrelevanten Prozesse der angegriffenen Systeme beendet. Die DoppelPaymer-Angriffe wurden durch die weit verbreitete EMOTET-Malware ermöglicht.

Die Ransomware wurde über verschiedene Kanäle verbreitet, darunter Phishing- und Spam-E-Mails mit angehängten Dokumenten, die bösartigen Code – entweder JavaScript oder VBScript – enthielten. Die kriminelle Gruppe, die hinter dieser Ransomware steckt, setzte auf ein doppeltes Erpressungsschema und nutzte eine von den kriminellen Akteuren Anfang 2020 eingerichtete Leak-Website.

Den deutschen Behörden sind 37 Opfer dieser Ransomware-Gruppe bekannt, allesamt Unternehmen. Einer der schwersten Angriffe richtete sich gegen das Universitätsklinikum in Düsseldorf. In den USA haben die Opfer zwischen Mai 2019 und März 2021 mindestens 40 Millionen Euro gezahlt.

Am 28. Februar 2023 haben das Landeskriminalamt Nordrhein-Westfalen und die ukrainische Nationalpolizei (Націона́льна полі́ція Украї́ни) mit Unterstützung von Europol, der niederländischen Polizei (Politie) und dem United States Federal Bureau of Investigations Razien bei mutmaßlichen Kernmitgliedern der kriminellen Ransomware-Gruppe, die für die Durchführung groß angelegter Cyberangriffe mit der Ransomware DoppelPaymer verantwortlich ist, durchgeführt.

Bei der gleichzeitigen Aktion durchsuchten deutsche Beamte das Haus eines deutschen Staatsangehörigen, von dem angenommen wird, dass er eine wichtige Rolle in der DoppelPaymer-Ransomware-Gruppe gespielt hat. Die Ermittler analysieren derzeit die beschlagnahmte Ausrüstung, um die genaue Rolle des Verdächtigen in der Struktur der Ransomware-Gruppe zu ermitteln. Gleichzeitig verhörten ukrainische Polizeibeamte trotz der derzeit äußerst schwierigen Sicherheitslage in der Ukraine aufgrund des Einmarsches Russlands einen ukrainischen Staatsangehörigen, bei dem es sich ebenfalls um ein Mitglied des Kerns der DoppelPaymer-Gruppe handeln soll. Die ukrainischen Beamten durchsuchten zwei Orte, einen in Kiew und einen in Charkiw. Bei den Durchsuchungen beschlagnahmten sie elektronische Geräte, die derzeit forensisch untersucht werden.

An den Tagen, an denen die Razzien stattfanden, entsandte Europol drei Experten nach Deutschland, um operative Informationen mit den Europol-Datenbanken abzugleichen und weitere operative Analysen, Krypto-Rückverfolgung und forensische Unterstützung zu leisten. Es wird erwartet, dass die Analyse dieser Daten und anderer damit zusammenhängender Fälle weitere Ermittlungsaktivitäten auslösen wird. Europol richtete auch einen virtuellen "Gefechtsstand" ein, um die Ermittler und Experten von Europol, Deutschland, der Ukraine, den Niederlanden und den Vereinigten Staaten in Echtzeit zu verbinden und die Aktivitäten während der Hausdurchsuchungen zu koordinieren. Auch die Joint Cybercrime Action Taskforce (J-CAT) von Europol unterstützte die Operation. Dieses ständige operative Team besteht aus Verbindungsbeamten für Cyberkriminalität aus verschiedenen Ländern, die an hochrangigen Ermittlungen im Bereich der Cyberkriminalität arbeiten.

Von Beginn der Ermittlungen an erleichterte Europol den Informationsaustausch, koordinierte die internationale Zusammenarbeit der Strafverfolgungsbehörden und unterstützte die operativen Maßnahmen, wie man hier mitteilt. Europol leistete auch analytische Unterstützung, indem es verfügbare Daten mit verschiedenen Kriminalfällen innerhalb und außerhalb der EU verknüpfte und die Ermittlungen mit Kryptowährung, Malware, Entschlüsselung und forensischer Analyse unterstützte.