Ukrainische und deutsche Strafverfolgungsbehörden durchsuchen Wohnungen mutmaßlicher Black-Basta-Hacker

Ukrainische und deutsche Behörden gaben am Donnerstag bekannt, dass sie Verdächtigedenthaben, die mit der russischen Ransomware-Gruppe Black Basta in Verbindung stehen, und haben nun eine internationale Fahndung nach weiteren Tätern eingeleitet. 

Laut der offiziellen Website der ukrainischen Cyberpolizei wurden zwei ukrainische Staatsangehörige als aktive Mitglieder der Gruppe identifiziert, während ein namentlich nicht genannter russischer Staatsbürger als mutmaßlicher Organisator gilt. Dieser wurde von Interpol international zur Fahndung ausgeschrieben, wie deutsche Behörden bestätigten.

Die Maßnahmen erfolgten im Rahmen einer gemeinsamen Untersuchung der Ukraine, Deutschlands, der Schweiz, der Niederlande und des Vereinigten Königreichs. Europol, das ebenfalls zu den an den Ermittlungen beteiligten Behörden gehörte, bezeichnete Black Basta als eine der gefährlichsten Cyberkriminalitätsoperationen der letzten Jahre.

Russisches Ransomware-Netzwerk in jahrelange Cyberangriffe verwickelt 

Nach Angaben der ukrainischen Ermittlungseinheit ist Black Basta mindestens seit Anfang 2022 aktiv. Der Gruppe wird vorgeworfen, Ransomware-Angriffe gegen Unternehmen, Krankenhäuser und öffentliche Einrichtungen in westlichen Ländern verübt zu haben, die sie als „wirtschaftlich rentabel“ betrachtet

Die Gruppe soll zwischen 2022 und 2025 Schäden in Höhe von mehreren hundert Millionen Euro an Industrie- und Gesundheitsorganisationen in Europa und den Vereinigten Staaten verursacht und private Informationen an Hackernetzwerke weitergegeben haben.

Die beiden ukrainischen Verdächtigen hatten sich in der Westukraine niedergelassen und arbeiteten mit anderen Hackern zusammen, um in die Sicherheit von Unternehmenssystemen einzudringen unddenttrac. Nachdem sie die Autorisierungsdaten der Mitarbeiter erlangt hatten, nutzten sie diese, um in interne Unternehmenssysteme einzudringen und ihre Administratorrechte sowie den Zugriff auf Unternehmensdateien zu erweitern.

Der gestohlene Zugang wurde genutzt, um kritische Systeme lahmzulegen, und es wurde Schadsoftware eingesetzt, um Daten zu verschlüsseln, damit die Angreifer im Gegenzug für die Wiederherstellung des Zugangs Lösegeld fordern konnten.

Razzien in der Westukraine fördern digitale und kryptografische Beweise zutage 

Wie die ukrainische Polizei mitteilte, wurden in den Regionen Iwano-Frankiwsk und Lwiw, in denen mutmaßlich Cyberkriminelle lebten, Durchsuchungen durchgeführt. Bei den Razzien beschlagnahmten die Beamten Kryptowährungen, machten jedoch keine Angaben zum Wert oder zur Art der sichergestellten digitalen Vermögenswerte.

Die Behörden hatten zuvor auf Ersuchen ausländischer Partner Durchsuchungen in Charkiw und Umgebung durchgeführt, die sich gegen weitere mutmaßliche Gruppenmitglieder richteten. Das deutsche Ermittlungsteam geht davon aus, dass ein russischer Staatsbürger die Gruppe gegründet und angeführt hat und dass er an einer anderen berüchtigten Ransomware- und Cybererpressungsoperation beteiligt war.

Auf Ersuchen des Bundeskriminalamts und der Frankfurter Staatsanwaltschaft wurden die Interpol-Kanäle genutzt, um die Fahndungsmitteilung zu veröffentlichen. 

„Black Basta stellt eine Bedrohung durch Cyberkriminalität der Spitzenklasse dar, die Strafverfolgungsbehörden aus mehreren Ländern betrifft und eine erhebliche Bedrohung für die globale Cybersicherheit darstellt“, schrieb die ukrainische Cyberpolizei in ihrer Erklärung.

Zum Abschluss ihres Berichts zu dem Fall bekräftigten die Behörden, dass kein einzelnes Land solche Netzwerke allein zerschlagen könne, und forderten weitere Nationen auf, die Türen für den Austausch von Geheimdienstberichten zu öffnen.

Das kriminelle Syndikat zwischen der Ukraine und Russland reicht bis nach Österreich

Vor knapp zwei Monaten verhaftete die österreichische Polizei zwei Verdächtige im Zusammenhang mit einem tödlichen Kryptoraub. Esdentsich um zwei Ukrainer im Alter von 19 und 45 Jahren. 

Bei dem Opfer handelte es sich um einen 21-jährigen ukrainischen Staatsbürger, dessen verbrannte Leiche kurz nach Mitternacht am 26. November gefunden wurde. Die sterblichen Überreste wurden in einem ausgebrannten Mercedes mit ukrainischen Kennzeichen im Wiener Bezirk Donaustadt entdeckt.

Als die Rettungskräfte am Unfallort eintrafen, fanden sie das ausgebrannte Fahrzeug vor, doch die Spurensicherung barg später einen geschmolzenen Benzinkanister vom Rücksitz.

Laut lokalen Medienberichten ereignete sich die Tat am frühen Abend in der Nähe des Hotels SO/Vienna in einer Tiefgarage. Auf Überwachungsaufnahmen ist eine Auseinandersetzung zwischen dem Opfer und zwei Männern zu sehen; Zeugen berichteten von einem lauten Wortwechsel in der Garage. 

Ein Hotelgast kontaktierte die Rezeption, die daraufhin die Polizei verständigte. Die Beamten trafen jedoch erst ein, nachdem die Täter den Tatort bereits verlassen hatten. Das Opfer wurde mutmaßlich in sein eigenes Fahrzeug gezwungen und in den Bezirk Donaustadt gefahren. Dort wurde er angegriffen und gezwungen, die Passwörter für zwei Kryptowährungs-Wallets preiszugeben, die später geleert wurden. 

Österreichische Medien berichteten, dass das Opfer bei dem Angriff schwere Verletzungen erlitten habe und noch vor der Brandstiftung an den Folgen gestorben sei.