{"id":278486,"date":"2023-03-06T15:24:15","date_gmt":"2023-03-06T14:24:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278486"},"modified":"2024-02-04T21:36:08","modified_gmt":"2024-02-04T20:36:08","slug":"lka-identifiziert-doppelpaymer-cybergang-und-erlsst-haftbefehle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/06\/lka-identifiziert-doppelpaymer-cybergang-und-erlsst-haftbefehle\/","title":{"rendered":"LKA identifiziert DoppelPaymer Cybergang und erl&auml;sst Haftbefehle"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[English]Internationalen Ermittlern und Strafverfolgern (FBI, LKA etc.) ist es gelungen, Mitglieder einer Cybergang, die unter den Namen \"DoppelSpider\" und \"DoppelPaymer\" operierte, zu identifizieren. Die Cybergang war f\u00fcr Ransomware-Angriffe auf deutsche Firmen und die Uniklinik D\u00fcsseldorf verantwortlich. Vorigen Dienstag wurden Hausdurchsuchungen in Deutschland und in der Ukraine durchgef\u00fchrt. Die Strafverfolger haben zudem internationale Haftbefehle gegen drei Beschuldigte mit russischem Hintergrund erlassen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/2f4c6a5cad50489f916655707381a24d\" alt=\"\" width=\"1\" height=\"1\" \/>Ich habe es kurz in den Nachrichten im Radio vernommen, inzwischen gibt es auch eine <a href=\"https:\/\/www.presseportal.de\/blaulicht\/pm\/58451\/5456752\" target=\"_blank\" rel=\"noopener\">Mitteilung<\/a> des Landeskriminalamt Nordrhein-Westfalen. Spezialisten der Polizei NRW, unter F\u00fchrung des Landeskriminalamtes Nordrhein-Westfalen (LKA NRW), ist in Kooperation mit Europol, dem Federal Bureau of Investigation (FBI), der niederl\u00e4ndischen und der ukrainischen Polizei ein Schlag gegen ein international agierendes Netzwerk von Internetkriminellen gelungen. Unter Leitung der Zentral- und Ansprechstelle Cybercrime (ZAC NRW) durchsuchten die Ermittler letzten Dienstag zeitgleich mehrere Objekte in Deutschland und der Ukraine.<\/p>\n<h2>Die DoubleSpider \/ DoublePaymer-Gang<\/h2>\n<p>Die Cyberkriminellen operierten in einer Gang, die unter verschiedenen Namen wie DoubleSpider oder DoublePaymer bekannt ist. Die kriminelle Gruppe, die sich auch \"Indrik Spider\" oder \"Doppel Spider\" nennt, ist in Deutschland unter anderem f\u00fcr die Erpressung der Universit\u00e4tsklinik D\u00fcsseldorf (siehe <a href=\"https:\/\/borncity.com\/blog\/2020\/09\/10\/dsseldorfer-uniklinik-it-ausfall-durch-cyberangriff\/\">D\u00fcsseldorfer Uniklinik: IT-Ausfall durch Cyberangriff?<\/a> und Links am Artikelende), die Cyberattacken gegen die Funke Mediengruppe (siehe <a href=\"https:\/\/borncity.com\/blog\/2020\/12\/23\/funke-mediengruppe-opfer-eines-cyberangriffs\/\">Funke-Mediengruppe Opfer eines Cyberangriffs<\/a>) und weiterer namhafter Unternehmen im Jahr 2020 verantwortlich.<\/p>\n<p>Der Gang wird gewerbsm\u00e4\u00dfige, digitale Erpressung und Computersabotage vorgeworfen. Mit einer Schadsoftware, sogenannter Ransomware (BitPaymer, DoppelPaymer, PayOrGrief, Entropy) verschafften sich die T\u00e4ter digitalen Zugang zu den Rechnern der betroffenen Unternehmen, griffen Daten ab und drohten anschlie\u00dfend mit der missbr\u00e4uchlichen Nutzung, verbunden mit Geldforderungen.<\/p>\n<p>Es wurden weltweit von \u00fcber 600 Gesch\u00e4digten teils bis zu zweistellige Millionenbetr\u00e4ge erpresst. Der erste bekannt gewordene Angriff dieser Art richtete sich im Mai 2017 gegen das Gesundheitswesen des Vereinigten K\u00f6nigreiches (UK). Es folgten weltweit weitere Cyberattacken auf die digitale Infrastruktur verschiedenster Firmen und Institutionen.<\/p>\n<h2>Ermittlungskommission \"Parker\" schl\u00e4gt zu<\/h2>\n<p>Angesichts der Angriffe wurde in Deutschland die Ermittlungskommission (EK) \"Parker\" beim LKA Nordrhein-Westfalen gegr\u00fcndet. Durch die Ermittlungskommission \"Parker\" des LKA NRW werden zusammen mit der ZAC NRW zentral die Ermittlungen f\u00fcr alle bundesweiten F\u00e4lle gef\u00fchrt sowie die Ermittlungen gegen die Gruppierung zusammen mit Europol weltweit koordinierend geleitet.<\/p>\n<p>Seit Juni 2020 sind die Cybercrime-Spezialisten des LKA NRW den international agierenden Cyber-Kriminellen auf der Spur. Die eigens eingerichtete Ermittlungskommission (EK) \"Parker\" konnte nun die Drahtzieher sowie weitere Mitglieder der Ransomware-Gruppierung \"DoppelSpider\"\/\"DoppelPaymer\" identifizieren.<\/p>\n<p>Im Rahmen einer gezielten Aktion wurden zeitgleich Durchsuchungsbeschl\u00fcsse in Deutschland und der Ukraine vollstreckt. Bei einer Aktion am Dienstag, 28.02.2023, durchsuchte die EK \"Parker\" mehrere Objekte in NRW, w\u00e4hrend zeitgleich Ermittler in der Ukraine gegen identifizierte Angeh\u00f6rige des Netzwerkes vorgingen.<\/p>\n<p>Dar\u00fcber hinaus erlie\u00df die ZAC NRW Haftbefehle gegen mutma\u00dfliche Drahtzieher der kriminellen Gruppierung mit Bez\u00fcgen nach Russland. Mit Haftbefehlen (<a href=\"https:\/\/web.archive.org\/web\/20231224144536\/https:\/\/polizei.nrw\/fahndung\/100196\" target=\"_blank\" rel=\"noopener\">Turashev<\/a>, <a href=\"https:\/\/web.archive.org\/web\/20230328091929\/https:\/\/polizei.nrw\/fahndung\/100197\" target=\"_blank\" rel=\"noopener\">Zemlianikina<\/a> und Garshin) suchen die Strafverfolgungsbeh\u00f6rden nun weltweit nach zun\u00e4chst drei Verd\u00e4chtigen.<\/p>\n<ul>\n<li>lgor Olegovich Turashev steht im Verdacht, eine wesentliche Rolle, bei Cyberattacken auf deutsche Unternehmen gespielt zu haben. Der Gesuchte fungierte als Administrator der f\u00fcr die Angriffe genutzten IT-Infrastruktur und Malware.<\/li>\n<li>Irina Zemlianikina zeichnet nach derzeitigen Ermittlungen ebenfalls mitverantwortlich f\u00fcr mehreren Cyberattacken auf deutsche Unternehmen. Sie administrierte insbesondere die genutzten Chat- und Leakingseiten, die f\u00fcr die Kommunikation der T\u00e4ter mit ihren Opfern und zur Ver\u00f6ffentlichung gestohlener Daten dienten. Sie versendete auch E-Mails mit Malware im Anhang, um so Systeme mit Verschl\u00fcsselungssoftware zu infizieren.<\/li>\n<li>Igor Garshin (alternativ: Garschin) steht im Verdacht, durch Aussp\u00e4hen, Infiltrieren sowie die finale Verschl\u00fcsselung von Daten, einer der Hauptverantwortlichen f\u00fcr die Cyber-Angriffe nicht zuletzt auch auf deutsche Unternehmen zu sein.<\/li>\n<\/ul>\n<p>Europol hat die Cyber-Kriminellen auf ihre \"<a href=\"https:\/\/eumostwanted.eu\/de\" target=\"_blank\" rel=\"noopener\">Europe's most wanted<\/a>\"- Liste gesetzt. An den Ermittlungen und den operativen Ma\u00dfnahmen sind neben Europol und dem FBI auch die High-Tech Crime Unit der niederl\u00e4ndischen Polizei und die Polizei in der Ukraine entscheidend beteiligt. Die Ermittlungskommission \"Parker\", angesiedelt bei der Abteilung \"Cybercrime\" des LKA NRW f\u00fchrt ihre Ermittlungen in guter Zusammenarbeit mit Sicherheitsbeh\u00f6rden weltweit fort im Kampf gegen Internetkriminalit\u00e4t.<\/p>\n<p>\"Das Verfahren zeigt, dass Cybercrime internationale Kriminalit\u00e4t ist &#8211; und zwar auf Seiten der T\u00e4ter wie der Opfer. T\u00e4ter greifen weltweit Infrastrukturen an, um L\u00f6segelder f\u00fcr Daten zu erpressen.\" bewertet Markus Hartmann, Leiter der ZAC NRW, den aktuellen Ermittlungsstand. \"Der jetzige Ermittlungserfolg zeigt aber auch, dass wir als Strafverfolger international handlungsf\u00e4hig sind.\"<\/p>\n<p>Die <a href=\"https:\/\/www.europol.europa.eu\/media-press\/newsroom\/news\/germany-and-ukraine-hit-two-high-value-ransomware-targets\" target=\"_blank\" rel=\"noopener\">Mitteilung von Europool<\/a> enth\u00e4lt noch einige zus\u00e4tzliche Details. Die Ransomware wurde \u00fcber verschiedene Kan\u00e4le verbreitet, darunter Phishing- und Spam-E-Mails mit angeh\u00e4ngten Dokumenten, die b\u00f6sartigen Code &#8211; entweder JavaScript oder VBScript &#8211; enthielten.<\/p>\n<p>Die kriminelle Gruppe, die hinter dieser Ransomware steckt, setzte auf ein doppeltes Erpressungsschema und nutzte eine von den kriminellen Akteuren Anfang 2020 eingerichtete Leak-Website. Den deutschen Beh\u00f6rden sind 37 Opfer dieser Ransomware-Gruppe bekannt, allesamt Unternehmen. Einer der schwersten Angriffe richtete sich gegen das Universit\u00e4tsklinikum in D\u00fcsseldorf. In den USA zahlten die Opfer zwischen Mai 2019 und M\u00e4rz 2021 mindestens 40 Millionen Euro.<\/p>\n<p>Im Rahmen der Aktion wurde am 28. Februar 2023\u00a0das Haus eines Deutschen durchsucht &#8211; der eine wichtige Rolle in der DoppelPaymer-Ransomware-Gruppe gespielt haben soll. Die Ermittler analysieren derzeit die beschlagnahmte Ausr\u00fcstung, um die genaue Rolle des Verd\u00e4chtigen in der Struktur der Ransomware-Gruppe zu ermitteln.<\/p>\n<p>Gleichzeitig verh\u00f6rten ukrainische Polizeibeamte trotz der derzeit \u00e4u\u00dferst schwierigen Sicherheitslage in der Ukraine aufgrund des Einmarsches Russlands einen ukrainischen Staatsangeh\u00f6rigen, bei dem es sich ebenfalls um ein Mitglied des Kerns der DoppelPaymer-Gruppe handeln soll. Die ukrainischen Beamten durchsuchten zwei Orte, einen in Kiew und einen in Charkiw. Bei den Durchsuchungen beschlagnahmten sie elektronische Ger\u00e4te, die derzeit forensisch untersucht werden.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2020\/09\/10\/dsseldorfer-uniklinik-it-ausfall-durch-cyberangriff\/\">D\u00fcsseldorfer Uniklinik: IT-Ausfall durch Cyberangriff?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/17\/uniklinikum-dsseldort-es-war-ransomware-staatsanwaltschaft-ermittelt-wegen-todesfolge\/\">Uniklinikum D\u00fcsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/11\/18\/ransomware-befall-in-uniklinik-dsseldorf-nicht-fr-todesfall-verantwortlich\/\">Ransomware-Befall in Uniklinik D\u00fcsseldorf nicht f\u00fcr Todesfall verantwortlich<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/23\/funke-mediengruppe-opfer-eines-cyberangriffs\/\">Funke-Mediengruppe Opfer eines Cyberangriffs<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/11\/05\/spanien-ransomware-befall-bei-everis-und-cadena-ser\/\">Spanien: Ransomware-Befall bei Everis und Cadena SER<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/09\/04\/erkenntnisse-zur-ransomware-gruppe-black-basta-von-palo-alto-networks\/\">Erkenntnisse zur Ransomware-Gruppe Black Basta von Palo Alto Networks<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Internationalen Ermittlern und Strafverfolgern (FBI, LKA etc.) ist es gelungen, Mitglieder einer Cybergang, die unter den Namen \"DoppelSpider\" und \"DoppelPaymer\" operierte, zu identifizieren. Die Cybergang war f\u00fcr Ransomware-Angriffe auf deutsche Firmen und die Uniklinik D\u00fcsseldorf verantwortlich. Vorigen Dienstag wurden Hausdurchsuchungen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/06\/lka-identifiziert-doppelpaymer-cybergang-und-erlsst-haftbefehle\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-278486","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278486","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278486"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278486\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278486"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278486"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278486"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}