Seit Jahren in Russland ansässig Ransomware-Banden haben verheerende Angriffe auf Unternehmen, Krankenhäuser und öffentliche Einrichtungen gestartet, Hunderte Millionen Dollar von den Opfern erpresst und unsagbare Störungen verursacht. Und sie haben es ungestraft getan – aber nicht mehr. Heute haben die Regierungen des Vereinigten Königreichs und der USA im Rahmen eines Vorstoßes zur Schließung von Ransomware-Banden einige der Kriminellen hinter den Angriffen entlarvt.
In einem seltenen Schritt haben Beamte sieben mutmaßliche Mitglieder berüchtigter Ransomware-Banden sanktioniert und ihre veröffentlicht reale Namen, Geburtsdaten, E-Mail-Adressen und Fotos. Alle sieben genannten Cyberkriminellen sollen den Ransomware-Gruppen Conti und Trickbot angehören, die miteinander verbunden sind und oft gemeinsam als Wizard Spider bezeichnet werden. Zudem rufen Großbritannien und die USA jetzt ausdrücklich Verbindungen zwischen Conti und Trickbot und den russischen Geheimdiensten auf.
„Indem wir diese Cyberkriminellen sanktionieren, senden wir ihnen und anderen, die an Ransomware beteiligt sind, ein klares Signal, dass sie zur Rechenschaft gezogen werden“, sagte der britische Außenminister James Cleverly in einer Erklärung am Donnerstag. „Diese zynischen Cyberangriffe verursachen echten Schaden für das Leben und die Existenzgrundlage der Menschen.“
Die sieben von den beiden Regierungen benannten Bandenmitglieder sind: Vitaly Kovalev, Maksim Mikhailov, Valentin Karyagin, Mikhail Iskritskiy, Dmitry Pleshevskiy, Ivan Vakhromeyev und Valery Sedletski. Alle Mitglieder haben Online-Handles wie Baget und Tropa, mit denen sie miteinander kommunizierten, ohne ihre realen Identitäten zu verwenden.
Am Donnerstag sagte das britische National Cyber Security Centre (NCSC), es sei „sehr wahrscheinlich“, dass Mitglieder der Conti-Gruppe Verbindungen zu „den russischen Geheimdiensten“ haben und dass diese Behörden „wahrscheinlich“ einige der Aktionen der Bande geleitet haben. NCSC ist Teil des britischen Geheimdienstes GCHQ, und dies ist das erste Mal, dass das Vereinigte Königreich Ransomware-Kriminelle sanktioniert.
In ähnlicher Weise ist das US-Finanzministerium zu dem Schluss gekommen, dass Mitglieder der Trickbot-Gruppe „mit russischen Geheimdiensten in Verbindung stehen“. Es fügte hinzu, dass die Aktionen der Gruppe im Jahr 2020 mit den internationalen Interessen Russlands und „auf zuvor von russischen Geheimdiensten durchgeführte Angriffe“ abgestimmt waren.
Nach Angaben des US-Finanzministeriums waren diese Mitglieder an der Entwicklung von Malware und Ransomware, Geldwäsche, Betrug, Injektion von bösartigem Code in Websites zum Stehlen von Anmeldedaten und in Führungspositionen beteiligt. Im Rahmen der Sanktionen fror das Vereinigte Königreich Vermögenswerte der Ransomware-Akteure ein und verhängte Reiseverbote gegen sie. Das US-Bezirksgericht für den Bezirk New Jersey entsiegelte auch eine Anklageschrift, in der Vitaliy Kovalev der Verschwörung zum Bankbetrug und acht Fällen von Bankbetrug gegen US-Finanzinstitute in den Jahren 2009 und 2010 angeklagt wurde.
Regierungen haben Mühe, die wachsende Ransomware-Bedrohung in den Griff zu bekommen, zum großen Teil, weil viele der kriminellen Gruppen in Russland operieren. Der Kreml hat diesen schlechten Schauspielern einen sicheren Hafen geboten – solange sie es nicht mit russischen Unternehmen zu tun haben. Im vergangenen Jahr, nach einer Reihe besonders aggressiver und zerstörerischer Angriffe auf Ziele in den USA und Großbritannien, Russische Strafverfolgungsbehörden nahmen Festnahmen vor mehr als ein Dutzend mutmaßliche Mitglieder der berüchtigten Ransomware-Gang REvil. Russland ist jedoch weiterhin der Ausgangspunkt für eine Reihe von Aktivitäten der Cyberkriminalität, einschließlich Ransomware-Angriffen.