{"id":286118,"date":"2023-09-19T03:32:21","date_gmt":"2023-09-19T01:32:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=286118"},"modified":"2023-09-19T15:37:55","modified_gmt":"2023-09-19T13:37:55","slug":"razzia-bei-doppel-spider-ransomware-gang-mitgliedern-in-deutschland-und-in-der-ukraine","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/19\/razzia-bei-doppel-spider-ransomware-gang-mitgliedern-in-deutschland-und-in-der-ukraine\/","title":{"rendered":"Razzia bei "Doppel Spider" Ransomware-Gang-Mitgliedern in Deutschland und in der Ukraine"},"content":{"rendered":"

\"SicherheitDie Strafverfolgungsbeh\u00f6rden bzw. die Polizei hat in Deutschland und in der Ukraine Razzien gegen Hinterm\u00e4nner der Ransomware-Gang \"Doppel Spider\" durchgef\u00fchrt. Die Aktion fand wohl bereits am 28. Februar 2023 statt, wurde aber erst jetzt bekannt gegeben. Aktuell werden noch drei russischst\u00e4mmige Verd\u00e4chtige von internationalen Beh\u00f6rden gesucht. Deutschland und die Ukraine analysieren derzeit das bei den Razzien sichergestellte Beweismaterial, um weitere Mitglieder der Gruppe ausfindig zu machen und deren Rolle zu ermitteln.<\/p>\n

<\/p>\n

\"\"Diese Ransomware tauchte 2019 auf, als Cyberkriminelle begannen, sie f\u00fcr Angriffe auf Organisationen, kritische Infrastrukturen und Branchen einzusetzen. Die Ransomware-Gruppe ist unter Namen wie Indrik Spider, Double Spider und Grief bekannt. Die Ransomware DoppelPaymer basiert auf der BitPaymer-Ransomware und geh\u00f6rt zur Dridex-Malware-Familie. Es verwendet ein einzigartiges Tool, das in der Lage ist, Verteidigungsmechanismen zu kompromittieren, indem es die sicherheitsrelevanten Prozesse der angegriffenen Systeme beendet. Die DoppelPaymer-Angriffe wurden durch die weit verbreitete EMOTET-Malware<\/a> erm\u00f6glicht.<\/p>\n

Die Ransomware wurde \u00fcber verschiedene Kan\u00e4le verbreitet, darunter Phishing- und Spam-E-Mails mit angeh\u00e4ngten Dokumenten, die b\u00f6sartigen Code – entweder JavaScript oder VBScript – enthielten. Die kriminelle Gruppe, die hinter dieser Ransomware steckt, setzte auf ein doppeltes Erpressungsschema und nutzte eine von den kriminellen Akteuren Anfang 2020 eingerichtete Leak-Website.<\/p>\n

Den deutschen Beh\u00f6rden sind 37 Opfer dieser Ransomware-Gruppe bekannt, allesamt Unternehmen. Einer der schwersten Angriffe richtete sich gegen das Universit\u00e4tsklinikum in D\u00fcsseldorf. In den USA haben die Opfer zwischen Mai 2019 und M\u00e4rz 2021 mindestens 40 Millionen Euro gezahlt.<\/p>\n

Am 28. Februar 2023 haben das Landeskriminalamt Nordrhein-Westfalen und die ukrainische Nationalpolizei (\u041d\u0430\u0446\u0456\u043e\u043d\u0430\u0301\u043b\u044c\u043d\u0430 \u043f\u043e\u043b\u0456\u0301\u0446\u0456\u044f \u0423\u043a\u0440\u0430\u0457\u0301\u043d\u0438) mit Unterst\u00fctzung von Europol, der niederl\u00e4ndischen Polizei (Politie) und dem United States Federal Bureau of Investigations Razien bei mutma\u00dflichen Kernmitgliedern der kriminellen Ransomware-Gruppe, die f\u00fcr die Durchf\u00fchrung gro\u00df angelegter Cyberangriffe mit der Ransomware DoppelPaymer verantwortlich ist, durchgef\u00fchrt.<\/p>\n

Bei der gleichzeitigen Aktion durchsuchten deutsche Beamte das Haus eines deutschen Staatsangeh\u00f6rigen, von dem angenommen wird, dass er eine wichtige Rolle in der DoppelPaymer-Ransomware-Gruppe gespielt hat. Die Ermittler analysieren derzeit die beschlagnahmte Ausr\u00fcstung, um die genaue Rolle des Verd\u00e4chtigen in der Struktur der Ransomware-Gruppe zu ermitteln. Gleichzeitig verh\u00f6rten ukrainische Polizeibeamte trotz der derzeit \u00e4u\u00dferst schwierigen Sicherheitslage in der Ukraine aufgrund des Einmarsches Russlands einen ukrainischen Staatsangeh\u00f6rigen, bei dem es sich ebenfalls um ein Mitglied des Kerns der DoppelPaymer-Gruppe handeln soll. Die ukrainischen Beamten durchsuchten zwei Orte, einen in Kiew und einen in Charkiw. Bei den Durchsuchungen beschlagnahmten sie elektronische Ger\u00e4te, die derzeit forensisch untersucht werden.<\/p>\n

An den Tagen, an denen die Razzien stattfanden, entsandte Europol drei Experten nach Deutschland, um operative Informationen mit den Europol-Datenbanken abzugleichen und weitere operative Analysen, Krypto-R\u00fcckverfolgung und forensische Unterst\u00fctzung zu leisten. Es wird erwartet, dass die Analyse dieser Daten und anderer damit zusammenh\u00e4ngender F\u00e4lle weitere Ermittlungsaktivit\u00e4ten ausl\u00f6sen wird. Europol richtete auch einen virtuellen \"Gefechtsstand\" ein, um die Ermittler und Experten von Europol, Deutschland, der Ukraine, den Niederlanden und den Vereinigten Staaten in Echtzeit zu verbinden und die Aktivit\u00e4ten w\u00e4hrend der Hausdurchsuchungen zu koordinieren. Auch die Joint Cybercrime Action Taskforce (J-CAT) von Europol unterst\u00fctzte die Operation. Dieses st\u00e4ndige operative Team besteht aus Verbindungsbeamten f\u00fcr Cyberkriminalit\u00e4t aus verschiedenen L\u00e4ndern, die an hochrangigen Ermittlungen im Bereich der Cyberkriminalit\u00e4t arbeiten.<\/p>\n

Von Beginn der Ermittlungen an erleichterte Europol den Informationsaustausch, koordinierte die internationale Zusammenarbeit der Strafverfolgungsbeh\u00f6rden und unterst\u00fctzte die operativen Ma\u00dfnahmen, wie man hier<\/a> mitteilt. Europol leistete auch analytische Unterst\u00fctzung, indem es verf\u00fcgbare Daten mit verschiedenen Kriminalf\u00e4llen innerhalb und au\u00dferhalb der EU verkn\u00fcpfte und die Ermittlungen mit Kryptow\u00e4hrung, Malware, Entschl\u00fcsselung und forensischer Analyse unterst\u00fctzte.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Strafverfolgungsbeh\u00f6rden bzw. die Polizei hat in Deutschland und in der Ukraine Razzien gegen Hinterm\u00e4nner der Ransomware-Gang \"Doppel Spider\" durchgef\u00fchrt. Die Aktion fand wohl bereits am 28. Februar 2023 statt, wurde aber erst jetzt bekannt gegeben. Aktuell werden noch drei … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-286118","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286118","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=286118"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286118\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=286118"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=286118"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=286118"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}