Am Dienstag, dem 28. Februar 2023, ist der Polizei ein Schlag gegen ein internationales Hacker-Netzwerk namens DoppelPaymer gelungen. Ermittler aus Nordrhein-Westfalen (NRW) haben in Zusammenarbeit mit Europol, dem FBI, der niederländischen und ukrainischen Polizei die Drahtzieher und Mitglieder der Ransomware-Group identifiziert und durchsucht. DoppelPaymer soll mindestens 601 Unternehmen, Institutionen und Privatpersonen geschädigt haben. Die Gruppe ist seit 2010 aktiv und war ursprünglich in der Gamingszene tätig. Im Mai 2017 erfolgte der erste Angriff auf das Gesundheitswesen in Großbritannien.
DoppelPaymer: Digitale Erpressung und Computersabotage
Die Mitglieder von DoppelPaymer werden gewerbsmäßige, digitale Erpressung und Computersabotage vorgeworfen. Das Hacker-Netzwerk nutzte verschiedene Ransomware-Programme wie BitPaymer, DoppelPaymer, PayOrGrief und Entropy, um digitalen Zugang zu den Rechnern der betroffenen Unternehmen zu verschaffen. Anschließend griffen sie Daten ab und drohten mit der missbräuchlichen Nutzung, verbunden mit Geldforderungen. Weltweit wurden über 600 Geschädigte von DoppelPaymer erpresst. In Deutschland waren die Uni-Klinik Düsseldorf, die Funke Mediengruppe und weitere namhafte Unternehmen betroffen.
Exorbitante Lösegeldsummen
Die Hacker-Group verlangte für die Entschlüsselung der Daten hohe Summen zwischen 25.000 und 1,2 Millionen US-Dollar von den Opfern. In den USA zahlten die Opfer zwischen Mai 2019 und März 2021 mindestens 40 Millionen Euro. Bei Nichtbezahlung drohte DoppelPaymer damit, die gestohlenen Daten öffentlich ins Netz zu stellen. Zusätzlich betrieben sie eine Leak-Website und verbreiteten die Ransomware über verschiedene Kanäle wie Phishing- und Spam-Mails.
Internationale Zusammenarbeit gegen Cybercrime
Ermittlungen gegen DoppelPaymer liefen bereits seit Juni 2020. Durch eine gezielte Aktion am 28. Februar 2023 gelang es der Ermittlungskommission (EK) "Parker" aus den Reihen der Cybercrime-Spezialisten des LKA NRW, Mitglieder der Ransomware-Group DoppelSpider/DoppelPaymer zu identifizieren. Durchsuchungen erfolgten in Düsseldorf und der Ukraine. Die Verdächtigen wurden international gesucht. Haftbefehle gegen die mutmaßlichen Drahtzieher der Hacker-Group mit Bezügen nach Russland konnten jedoch nicht vollstreckt werden, da sich die Verdächtigen nicht im Zugriffsgebiet der europäischen Justizbehörden aufhielten.
Laut Tagesschau verwies NRW-Innenminister Reul auf Beziehungen der Hacker-Group DoppelPaymer zum russischen Inlandsgeheimdienst FSB und der paramilitärischen Söldnergruppe Wagner:
Wir sehen bei einzelnen Personen dieser Tätergruppe auch Beziehungen zum russischen Inlandsgeheimdienst FSB und der paramilitärischen Söldnergruppe Wagner. Das ergebe sich aus öffentlich zugänglichen Quellen. Konkret sei das ein von der Wagner Gruppe ausgerichteter Hacker-Wettbewerb, an dem einer der Hauptverdächtigen teilgenommen habe. Bei einem anderen Beteiligten gebe es "familiäre Kontakte zu einem ehemaligen, hochrangigen Mitarbeiter des russischen Inlandsgeheimdienstes." Der CDU-Politiker zieht daraus den Schluss, es verdichteten sich die Hinweise auf ?eine Auseinandersetzung, wo "staatliche Institutionen eine Rolle spielen".
Kommentare
Der Erfolg gegen DoppelPaymer zeigt, dass Cybercrime international ist und die Zusammenarbeit zwischen den Strafverfolgungsbehörden immer wichtiger wird. Die Tatsache, dass die Hacker-Group Verbindungen zum russischen Inlandsgeheimdienst FSB und der paramilitärischen Söldnergruppe Wagner hatte, ist beunruhigend. Es stellt sich die Frage, welche Rolle staatliche Institutionen bei solchen Auseinandersetzungen spielen. Unternehmen, Institutionen und Behörden sollten sich bewusst sein, dass sie ihre digitale Welt schützen müssen, um sich vor Cyberangriffen zu schüt