Cyberbedrohungen
Russland und die Cyberkriminellen
Das Bundeskriminalamt fahndet im Zusammenhang mit der Ransomware-Gruppe REvil nach zwei russischen Staatsbürgern, die sich vermutlich auch in dem Land aufhalten. Eine neue Entwicklung in einem alten Fall? Wie wird sich Russland dazu verhalten?
Save to Folio
Das Bundeskriminalamt fahndet nach zwei Individuen, die im Zusammenhang mit den Straftaten der Ransomware as a Service Gruppe GandCrab (aka Sodinokibi), später REvil gesucht werden. Beide Verdächtige werden als russische Staatsbürger bezeichnet. Außerdem geht man davon aus, dass dort ebenfalls ihr gegenwärtiger Aufenthalt ist.
Die Ransomware-as-a-Service (RaaS)-Gruppe REvil, absichtlich mit einem großen „E“ geschrieben („are evil“), entstand 2019 aus Mitgliedern der Organisation GandCrab, auch als Sodinokibi bekannt. Es geht um die frühesten und zur Zeit von REvil auch berüchtigtsten Akteure der Ransomware-Epoche. Weltweites Aufsehen erregten sie mit dem Supply-Chain-Angriff auf den Software Provider Kaseya, der sowohl in seinem Ablauf als auch in seiner Reichweite den typischen cyberkriminellen Rahmen sprengte. Wie die meisten RaaS-Gruppen vor 2022 arbeitete auch REvil grenzüberschreitend mit willigen Akteuren vor allem im Raum der Gemeinschaft unabhängiger Staaten (GUS) zusammen. Unbestritten sind Kontakte zu ukrainischen Mittätern.
Revil-Verhaftungen & deren Folgen
Im Zusammenhang mit der politischen Eskalation um den Cyberangriff auf die Colonial Pipeline wurden im Januar 2022 14 Mitglieder der Gruppe vom russischen Inlandsgeheimdienst verhaftet und Vermögenswerte in Millionenhöhe beschlagnahmt. Im Westen wurde dies zunächst als Zeichen der Entspannung interpretiert und als Hoffnungsschimmer, dass Russland nun doch zu einem Unterstützer im Kampf gegen die Kriminalität würde.
Im digitalen Untergrund war man aus dem gleichen Grund verunsichert. Bis dahin galt das Land als „sicherer Hafen“, solange man keine Verbrechen im Inland oder gegen Verbündete Russlands beging. Nur wenige Tage später wurde mit dem Einmarsch russischer Truppen in die Ukraine eine neue politische Realität geschaffen.
Als die RaaS-Gruppe Conti im Februar dann ihre politische Unterstützung der russischen Sache erklärte, tat sie das vermutlich aus Angst vor Strafverfolgung. Allerdings gefiel das weder ihren ukrainischen Mitgliedern noch den Ländern, in denen sie ihre Angriffe durchführten. So wurden Lösegeldzahlungen vom US Office of Foreign Assets Control an die Gruppe als Unterstützung der russischen Kriegsbemühungen gewertet. Banken und vor allem Cyberversicherungen weigerten sich daraufhin, die Zahlungen durchzuführen, was zu einem Einbruch der Lösegeldeinnahmen führte. Die von unzufriedenen Mitgliedern veröffentlichten „Conti Leaks“, bei denen interne Chatprotokolle an Sicherheitsforscher abgegeben wurden, zerlegten die Gruppe vollends. Sie löste sich im Mai desselben Jahres selbst auf.
Andere Ransomware-Gruppen gingen bedachter vor. Nachdem keine weiteren Verhaftungen erfolgten, erklärten sich die meisten Gruppen für „politisch neutral“. Unzweifelhaft ist, dass sie nach wie vor ihre Basis in Russland haben. Die Neutralitätsbekundung dürfte deshalb eher der Versuch sein, das Schicksal Contis zu vermeiden.
Russlands Umgang mit Kriminellen
Bis zur Verhaftung der Revil-Mitglieder unternahm Russland kaum polizeiliche Anstrengungen zur Verfolgung von cyberkriminellen Gruppen, solange deren Straftaten „nur“ im Ausland begangen wurden. Darüber hinaus existieren auch keine Auslieferungsabkommen mit Ländern außerhalb der GUS.
Mit REvil wurden Mitglieder einer Gruppe verhaftet, die nicht nur den Supply Chain-Angriff gegen Kaseya zu verantworten hatte, sondern auch weitere Attacken, darunter jener auf die Branche der Lebensmittelversorgung in der USA (JBS). Darüber hinaus gab es Spekulationen zu einer Zusammenarbeit mit der Gruppe Darkside, die hinter dem Angriff auf die Colonial Pipeline standen. Auch wenn 2021/2022 fast parallel mit REvil, Darkside und Conti die damals wichtigsten Cyberakteure nacheinander vom Bildschirm verschwanden, änderte das wenig an der Häufigkeit oder Qualität der Bedrohungen aus Russland, die sich allerdings im Verlauf des Krieges zunächst auf die Ukraine konzentrierten.
Was passierte mit den Verhafteten
Auch wenn die Verhaftungen öffentlich wirksam inszeniert wurden, war lange unklar, wie es mit den Kriminellen weiterging. Medienberichten zufolge wurden von den 14 verhafteten Mitgliedern inzwischen acht verurteilt – hauptsächlich für kleinere Cyberverbrechen wie Kreditkartenbetrug oder den Einsatz von Malware. Einige sind bereits wieder frei, weil sie ihre Strafen schon in der „Untersuchungshaft“ verbüßt hätten. Spekulationen, dass die Mitglieder weniger verhaftet als „rekrutiert“ wurden, setzten schon früh ein, konnten aber nie bewiesen werden.
2024 wurde erneut ein vom FBI gesuchter Krimineller, Mikhail Wazawaka Matveev, verhaftet und diesmal auch wegen Ransomware-Straftaten angeklagt. Ein Urteil steht in seinem Fall ebenfalls noch aus.
Die Frage, warum er verhaftet wurde, ist spannend. Angriffe innerhalb Russlands sind nicht belegt. Bekannt ist nur, dass er für mehrere Verbrechen auf der „most wanted“-Liste des FBI stand. Möglicherweise gilt er deshalb als Sicherheitsrisiko, oder das Land bereitet eine diplomatische „Charme-Offensive“ vor.
Was bewirkt dann die öffentliche Bekanntgabe zweier Namen durch das BKA?
Hier können wir nur spekulieren. Die Nähe zu REvil wird bei der Fahndungsbegründung bewusst gewählt. Falls Russland wirklich die Gruppe selbst verhaften wollte, dürften sich die Täter jetzt sehr unwohl fühlen. Genauso ist denkbar, dass die namentliche Nennung wie im Falle Wazawaka dazu führt, dass Russland die Täter als Sicherheitsrisiko einstuft und genauer beobachtet.
Abgesehen davon sollte natürlich auch nicht die persönliche Wirkung auf die Täter unterschätzt werden. Ob sie sich in Russland noch sicher fühlen dürfen, können wir nur schwer einschätzen. Ein Versuch schadet allerdings nicht.