Internationale Zusammenarbeit zur Zerschlagung der technischen Infrastruktur einer Ransomwaregruppierung

Unter Sachleitung der Staatsanwaltschaft Göttingen – Zentralstelle Internet- und Computerkriminalität (Cybercrime) – führt das Fachkommissariat Cybercrime der Zentralen Kriminalinspektion der Polizeidirektion Göttingen seit Dezember 2021 in Zusammenarbeit mit Europol und US-amerikanischen Ermittlungsbehörden zentrale Ermittlungen gegen eine international agierende Ransomware-Gruppierung. Die Tätergruppe zeichnet sich weltweit für einen Schaden im Milliardenbereich verantwortlich, wobei alleine in Deutschland „Lösegeldforderungen“ in Höhe von fast 500 Mio. USD gestellt wurden. Das Ermittlungsverfahren richtet sich gegen die bislang unbekannten Betreiber und Administratoren der Schadsoftware, gegen die unter anderem der Verdacht der banden- und gewerbsmäßigen Erpressung besteht.

Die Erpressungssoftware BlackCat wurde in Darkweb-Foren durch die Tätergruppierung „ALPHV“ als „Ransomware as a Service“ beworben.

Mit diesem Programm können betroffene IT-Systeme vollständig verschlüsselt und erst unter Verwendung eines Decryptors, den die Tätergruppierung gegen hohe Lösegeldzahlung zur Verfügung stellen, entsperrt werden. Von den Cyberangriffen sind in Deutschland zum Teil auch Krankenhäuser betroffen gewesen, die den Klinikbetrieb in einem Notbetrieb fortführen und geplante Operationen sowie Chemo-Behandlungen aussetzen mussten.

Der Durchbruch der international geführten Ermittlungen gelang den deutschen Strafverfolgungsbehörden. Durch den Einsatz operativer Maßnahmen konnte die Zentrale Kriminalinspektion der Polizeidirektion Göttingen Zugang zu dem Portal der Entwickler von „Blackcat“ erlangen, was vorher keiner – nationalen oder internationalen – Behörde gelang. Dieses Portal dient den Nutzern als Zugang zu der Ransomware und der Ausgestaltung eigener Angriffe. Die mit der Staatsanwaltschaft Göttingen abgestimmten Ermittlungen führten zur Identifizierung und Lokalisierung der Server dieser Tätergruppierung. Ausschließlich auf Basis der hierdurch gewonnenen Erkenntnisse und der Zurverfügungstellung eines Zugangs zum Portal konnten aus dem Verbund der international agierenden Behörden Maßnahmen zielgerichtet umgesetzt werden. Es wurden mehrere Webseiten und die auf den dahinterstehenden Servern befindlichen Daten beschlagnahmt. Bei Aufruf der täterseitig genutzten Webseiten wird nunmehr ein Banner angezeigt, der darauf hinweist, dass die jeweilige Seite beschlagnahmt wurde.

Dieser erfolgreiche Schlag gegen die organisierte Kriminalität verdeutlicht, dass das Internet kein rechtsfreier Raum ist. Trotz der täterseitig verwendeten Anonymisierungsmehtoden gelingt es den Strafverfolgungsbehörden immer wieder die entsprechenden Netzwerke zu infiltrieren und die dahinterstehenden Täter zu ermitteln. Die internationalen Ermittlungen zu den Hintermännern und den Geldströmen dauern an.