Gemeinsame Aktion legt global agierende Hackergruppe mit Fokus auf Erpressung und Spionage lahm
Ein internationales Bündnis aus Strafverfolgungsbehörden hat ein umfangreiches Cyberkriminellen-Netzwerk aufgedeckt und entscheidend geschwächt. Die Gruppierung, die maßgeblich von russischen Akteuren gesteuert wurde, war für eine Vielzahl weltweiter Ransomware-Angriffe und Spionageaktivitäten verantwortlich. Koordiniert wurde die Operation vom Bundeskriminalamt (BKA) in Deutschland – mit Unterstützung aus den USA, Großbritannien, Frankreich, Kanada, Dänemark und den Niederlanden.
Im Rahmen der Ermittlungen wurden 20 internationale Haftbefehle ausgestellt und 16 Anklagen durch US-Behörden erhoben. Den Tätern wird vorgeworfen, über 300.000 Systeme infiziert und weltweit Unternehmen sowie Organisationen um hohe Geldsummen erpresst zu haben.
Zentrale Akteure der Malware-Kampagnen enttarnt
Zu den identifizierten Hauptverdächtigen zählen Rustam Rafailevich Gallyamov aus Moskau sowie Aleksandr Stepanov alias „JimmBee“ und Artem Aleksandrovich Kalinkin alias „Onix“ aus Nowosibirsk. Laut Ermittlern stehen sie im Zentrum der Schadsoftware-Netzwerke Qakbot und Danabot, mit denen sie gezielt Systeme infiltrierten und Daten stahlen, um daraus Profit zu schlagen.
Besondere Aufmerksamkeit richtet sich auf Vitalii Nikolayevich Kovalev, der als Drahtzieher der berüchtigten Conti-Ransomware gilt. Unter den Pseudonymen „Stern“ und „Ben“ soll er Hunderte Unternehmen weltweit erpresst haben. Ermittler schätzen den Wert seiner Kryptowährungsbestände auf rund eine Milliarde Euro. Darüber hinaus soll er auch bei den Gruppen Royal und Blacksuit eine führende Rolle gespielt haben.
Zielgerichtete Angriffe auch auf Behörden und NGOs
Neben finanziellen Erpressungen konzentrierte sich das Netzwerk auch auf digitale Spionage. Bestimmte Schadprogramme richteten sich gezielt gegen Behörden, militärische Einrichtungen und gemeinnützige Organisationen. Die erbeuteten Informationen wurden laut den Ermittlern auf russischen Servern gespeichert.
Die Täter agierten dabei äußerst professionell, warben in einschlägigen Foren und nutzten komplexe Strukturen zur Steuerung ihrer Aktivitäten.
„Operation Endgame“ bringt weltweiten Erfolg
Bereits 2022 rief das BKA die Operation Endgame ins Leben, um auf die zunehmende Bedrohung durch internationale Cyberangriffe zu reagieren. BKA-Präsident Holger Münch bezeichnete die länderübergreifende Zusammenarbeit als zentralen Schlüssel zum Erfolg. Zwar halten sich viele Verdächtige weiterhin in Russland oder Dubai auf – wo eine Auslieferung unwahrscheinlich ist – doch ihre öffentliche Enttarnung schränkt ihre Bewegungsfreiheit und Handlungsfähigkeit erheblich ein.
Ein weiterer Verdächtiger ist der Ukrainer Roman Mikhailovich Prokop, der nun auf der europäischen Fahndungsliste steht. Ihm wird die Beteiligung an der Qakbot-Infrastruktur zur Last gelegt.
Netzwerk empfindlich gestört – Ermittlungen gehen weiter
Trotz rechtlicher Hürden bei der Strafverfolgung sehen die Behörden die Operation als klaren Erfolg. Durch das Offenlegen von Identitäten, das Sperren von Infrastruktur und das Einfrieren von Geldflüssen wurde das operative Handlungsfeld der Cyberkriminellen deutlich eingeschränkt.
„Mit Operation Endgame 2.0 haben wir gezeigt, dass auch die Akteure im digitalen Untergrund nicht anonym bleiben“, erklärte Münch. Die zuständigen Stellen wollen weitere Verfahren gegen die Beteiligten wegen Erpressung, Mitgliedschaft in kriminellen Organisationen und internationaler Cyberkriminalität einleiten. Die Aktion gilt als bedeutender Schritt im Kampf gegen hochentwickelte digitale Bedrohungen.
