LKA-BW: Weiterer Erfolg im Kampf gegen organisierte Cyberkriminalität: Mutmaßlicher Kopf und Programmierer der Ransomware-Gruppen GandCrab und REvil identifiziert - weltweite Fahndung eingeleitet

Die Ransomware-Gruppe "GandCrab" war in den Jahren 2018 und 2019 aktiv. Es besteht der Verdacht, dass mehrere Mitglieder der Organisation, darunter die beiden vom CCZ und LKA gesuchten Beschuldigten, noch im Jahr 2019 die Ransomware-Gruppe "REvil" gründeten und ihre Angriffe jedenfalls bis einschließlich Juli 2021 fortsetzten.

In den Haftbefehlen liegt den beiden Gesuchten zur Last, zwischen 2019 und 2021 an von diesen beiden Ransomware-Gruppierungen verübten Angriffen auf insgesamt 130 Unternehmen und Einrichtungen in Deutschland beteiligt gewesen zu sein. In 25 Fällen wurde das geforderte Lösegeld bezahlt. Der Gesamtlösegeldschaden beläuft sich auf rund 1,8 Millionen Euro. Die höchste Lösegeldsumme beträgt 658.000 Euro.

Diese Attacken führten in Deutschland zu wirtschaftlichen Schäden in Höhe von rund 35 Millionen Euro. Alleine einem Unternehmen aus Baden-Württemberg entstand ein Schaden in Höhe von rund 9 Millionen Euro. Der wirtschaftliche Schaden, der den geschädigten Unternehmen und Einrichtungen weltweit entstanden ist, wird auf mehrere hundert Millionen Euro beziffert.

Bei "GandCrab" und "REvil" handelte es sich um ein sogenanntes Ransomware-as-a-Service-Modell, bei dem die Beteiligten arbeitsteilig vorgingen, indem die Angreifer (sogenannte Affiliates) in die IT-Netzwerke der Geschädigten eindrangen, im Falle der Ransomware-Gruppe "REvil" auch sensible Daten exfiltrierten und anschließend die Computersysteme von Unternehmen und öffentlichen Einrichtungen mithilfe der durch die "GandCrab" bzw. "REvil"-Gruppierung zur Verfügung gestellten Software verschlüsselten. Die Gruppierungen gingen dabei höchst professionell vor und forderten für die Entschlüsselung und Nichtveröffentlichung der Daten hohe Lösegelder.

Der mutmaßliche Kopf der Gruppierung steht im Verdacht, die Produkte "GandCrab" und "REvil" beworben und Affiliates angeworben zu haben. Er soll zudem die Abwicklung der Lösegeldtransaktionen organisiert haben. Dem mutmaßlichen Programmierer wird zur Last gelegt, die von der Gruppierung genutzte Darknetseite zur Organisation und Verwaltung von Erpressungen sowie die Schadsoftware entwickelt und fortentwickelt zu haben.

Nach der akribischen Auswertung unzähliger Datensätze, so etwa von Kryptowährungstransaktionen, sowie dem damit einhergehenden ständigen Austausch und der Zusammenarbeit mit Partnerbehörden in Europa und Nordamerika konnten die beiden mutmaßlichen Hauptdrahtzieher der beiden Ransomware-Gruppierungen identifiziert und der Erlass von nationalen und europäischen Haftbefehlen erwirkt werden.

Bereits am 30.01.2026 war es dem bei der Generalstaatsanwaltschaft Karlsruhe eingerichteten Cybercrime-Zentrum Baden-Württemberg (CCZ) gelungen, die Verurteilung des mutmaßlichen Erpressers (Affiliate) der württembergischen Staatstheater und von weiteren 21 deutschen Unternehmen zu einer Gesamtfreiheitsstrafe von 7 Jahren durch das Landgericht Stuttgart zu erwirken.

Die weiteren nun geplanten Maßnahmen zur Festnahme der Beschuldigten werden international eng koordiniert.

Die öffentliche Fahndung nach den Beschuldigten wurde im Fahndungsportal des Bundeskriminalamtes (Shchukin: www.bka.de/oeffentlichkeitsfahndung75 / Kravchuk:www.bka.de/oeffentlichkeitsfahndung76) sowie des Landeskriminalamts Baden-Württemberg eingestellt (Shchukin: https://fahndung.polizei-bw.de/tracing/1062026 / Kravchuk: https://fahndung.polizei-bw.de/tracing/1102026).

Hinweise können an das E-Mail-Postfach stuttgart.lka.hinweise@polizei.bwl.de gerichtet werden.

Zudem wurden die beiden Beschuldigten auf die EU-Most-Wanted-Liste gesetzt (https://eumostwanted.eu/).

Ergänzend werden die Pressemitteilungen vom 10.10.2024 (https://generalstaatsanwaltschaft-karlsruhe.justiz-bw.de/pb/,Lde/Startseite/Presse/PM+vom+10-10-2024/?LISTPAGE=1222232) und vom 27.01.2025 (https://generalstaatsanwaltschaft-karlsruhe.justiz-bw.de/pb/,Lde/Startseite/Presse/Pressemitteilung+vom+27_01_2025/?LISTPAGE=1222232) in Bezug genommen.

Rückfragen bitte an:

Generalstaatsanwaltschaft Karlsruhe / Cybercrime-Zentrum
Baden-Württemberg
Pressestelle
Oberstaatsanwalt Mirko Heim
E-Mail: pressestelle@genstakarlsruhe.justiz.bwl.de
Telefon: 0721 926-9750

Landeskriminalamt Baden-Württemberg
Pressesprecher
Jürgen Glodek
E-Mail: pressestelle-lka@polizei.bwl.de
Telefon: 0711 5401-2044

Original-Content von: Landeskriminalamt Baden-Württemberg übermittelt durch news aktuell

http://ots.de/5f4e66