Kleine Firmen angegriffen und erpresst: Polizei gelingt Schlag gegen kriminelle Bande

Sie haben gezielt kleine und mittelständische Unternehmen auf der ganzen Welt angegriffen, um erst deren Systeme zu verschlüsseln und dann Geld für die Freischaltung der Daten zu erpressen: Mitglieder der Ransomware-Gruppe Radar/Dispossessor. Vor einem Jahr, im Sommer 2023, hatte sich die Gruppierung gegründet und seither ihr Unwesen getrieben. 

Nun konnten bayerische Polizeibehörden einen großen Erfolg im Kampf gegen die Online-Betrüger vermelden. Ermittelt hatten die Spezialisten der Zentralstelle Cybercrime Bayern (ZCB), die unter dem Dach der Generalstaatsanwaltschaft Bamberg angesiedelt ist, sowie das Bayerische Landeskriminalamt (BLKA), Dezernat 54 - Cybercrime. Sie konnten im Zuge intensiver Arbeit nicht nur Täter identifizieren und einen internationalen Haftbefehl erlassen, sondern auch anvisierte Opfer warnen.

Schwachstellen wurden gezielt ausgenutzt

Um in die Systeme ihrer Opfer zu gelangen, suchte die Gruppe gezielt nach Schwachstellen in Firmen, etwa unzureichend gesicherte Rechner, schwache Passwörter oder fehlende Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierungen. Diese Einfallstore ermöglichten es den Hackern, zunächst Zugriff auf die Systeme und dann Administratorenrechte zu erlangen. 

Dann sei ein spezielles Schadprogramm, die sogenannte Ransomware, zum Einsatz gekommen, um Daten und Systeme zu verschlüsseln, wodurch Unternehmen keinen Zugang mehr zu den eigenen Daten hatten.

Maßnahmen, um Druck auf attackierte Firmen maximal zu erhöhen 

„Blieb im weiteren Verlauf eine Kontaktaufnahme durch die Unternehmen aus, wurden die Verantwortlichen im Unternehmen proaktiv von der Gruppierung kontaktiert. Dies geschah durch den Versand von E-Mails oder Telefonanrufe“, beschreiben die Behörden das Vorgehen der Kriminellen. 

Um den Druck auf die betroffenen Unternehmen und die Zahlungsbereitschaft weiter zu erhöhen, fügten die Hacker in den E-Mails auch Links zu Videos an, „in denen die zuvor gestohlenen Dateien präsentiert wurden“. Abgerundet wurde die aggressive Kommunikation und Drohkulisse durch eine Veröffentlichung der jeweiligen Fälle auf eigenen Webseiten der Hacker, auf denen sie zudem drohten, die sensiblen Firmendaten zu veröffentlichen. Auch hier wurde der Druck auf die Opfer nochmals erhöht, indem ein Countdown zum Einsatz kam.

Die Ermittler gehen davon aus, dass sich die Kosten für einen solchen Angriff auf durchschnittlich fünf Millionen Dollar summierten. In der Rechnung enthalten sind etwa Faktoren wie Produktionsausfälle oder auch Kosten für die Wiederherstellung.

Unternehmen rund um die Welt wurden Opfer

Laut offiziellen Polizeiangaben rückten gezielt kleine bis mittelständische Unternehmen und Institutionen aus verschiedensten Bereichen in den Blick: Die Branchen erstrecken sich von Produktion und Transport über Finanzen, Bildung bis hin zu Entwicklung. Selbst vor sensiblen Bereichen wie dem Gesundheitssektor und konkret auch Krankenhäusern sollen die Täter nicht Halt gemacht haben. 

Während die Taten schwerpunktmäßig zunächst vor allem in den USA zu verzeichnen waren, identifizierten die Behörden im weiteren Verlauf allerdings auch 43 weitere Unternehmen aus Deutschland, aber auch aus weiteren europäischen Ländern sowie Asien, Australien, Nord- und Südamerika.

„Dies zeigt sehr deutlich, dass Cyberkriminelle zur Begehung schwerer Straftaten nicht an Landesgrenzen Halt machen und die internationale Zusammenarbeit essenziell bei der Bekämpfung dieser Kriminalitätsform ist“, so die Polizeibehörden. Sie gehen überdies von einer Vielzahl weiterer Firmen aus, die ebenfalls angegriffen und erpresst wurden.

Internationale Strafverfolgung

Insgesamt zwölf Täter seien identifiziert worden, die der banden- und gewerbsmäßigen Erpressung, aber auch der Bildung einer kriminellen Vereinigung bezichtigt werden. Sie stammen aus Kenia, Litauen, Russland, Serbien, der Ukraine und den Vereinigten Arabischen Emiraten. Einem Täter werden konkrete Taten in Deutschland zur Last gelegt, weshalb das Amtsgericht Bamberg einen internationalen Haftbefehl erließ. Weil weitere Verdächtige Opfer außerhalb Deutschlands geschädigt haben sollen, übernehmen die Behörden in anderen Ländern die jeweilige Strafverfolgung. 

An den internationalen Ermittlungen ist auch die US-Behörde FBI beteiligt. In Zusammenarbeit konnten diverse Server in Deutschland, Großbritannien und den USA beschlagnahmt und mehrere missbräuchliche Domains unschädlich gemacht werden. Auch die IT-Infrastruktur der Bande sei vom Netz genommen und beschlagnahmt worden. Nun streben die Ermittlerteams danach, weitere Tatverdächtige und andere betroffene Unternehmen auszumachen.

„Mit der Beschlagnahmung der IT-Infrastruktur ist der ZCB, dem BLKA und seinen internationalen Partnern ein wichtiger Schlag gegen Cyberkriminelle gelungen. Dies zeigt deutlich, dass die Täter auch im virtuellen Raum jederzeit damit rechnen müssen, überführt und zur Verantwortung gezogen zu werden. Die Abschaltung der Server bewahrt weitere zahlreiche Unternehmen auf der ganzen Welt vor teils existenziellen finanziellen Folgen“, kommentierte Guido Limmer, Vizepräsident des Bayerischen Landeskriminalamts, den Erfolg.

Artikelbild: http://www.depositphotos.com