Hände tippen auf einer beleuchteten Tastatur | picture alliance / NurPhoto
Exklusiv

Erpressung mit Ransomware Verdächtiger in Russland identifiziert

Stand: 28.10.2021 07:35 Uhr

Deutsche Strafverfolger haben laut BR und "Zeit Online" einen mutmaßlichen Drahtzieher hinter der Erpressung von Firmen und Behörden identifiziert. Der Mann lebt in Russland, eine Festnahme ist unwahrscheinlich.

 Von Maximilian Zierer und Hakan Tanriverdi, BR

In sozialen Netzwerken präsentiert sich Nikolay K. (Name geändert) als Händler von Kryptowährungen. Seine Profile sind privat, doch sein Motto kann die ganze Welt lesen: "In Crypto we trust". Er vertraut Kryptowährungen wie Bitcoin - das zeigt auch ein Blick auf sein Handgelenk. Seine Uhr hat einen fünfstelligen Kaufpreis und das Bitcoin-Logo strahlt von der Mitte des Ziffernblattes.

Das Instagram-Profilbild zeigt K. in einem Luxuswagen, Händchen haltend mit seiner Ehefrau. Die sozialen Netzwerke erlauben tiefe Einblicke in den Lebensstil des Mannes, der in einem Haus mit Pool in der Nähe einer südrussischen Großstadt lebt: Er verbringt Urlaube in Dubai oder auf den Malediven. Eine Yacht, die er charterte, kostet 1300 Euro - pro Tag.

Finanziert wird dieser luxuriöse Lebensstil offenbar durch Erpressungsgeld - gezahlt von Unternehmen und Behörden, die Opfer von Hackerangriffen geworden sind. Nach Informationen des Bayerischen Rundfunks und Zeit Online haben deutsche Ermittlungsbehörden Nikolay K. seit Monaten im Visier. Bundeskriminalamt (BKA) und LKA Baden-Württemberg halten den Mann für einen der Drahtzieher hinter der Schadsoftware REvil und deren mutmaßlichem Vorgänger Gandcrab.

 Schaden in Milliardenhöhe

Mit sogenannter Ransomware lassen sich binnen Minuten auch große Firmen-Netzwerke verschlüsseln und Unternehmen erpressen. Wie groß das Phänomen mittlerweile ist, zeigt eine Zahl des US-Finanzministeriums: Demnach haben kriminelle Hacker dank Ransomware binnen weniger Jahre mindestens fünf Milliarden Dollar erbeutet. Die Gruppe REvil ist bekannt dafür, besonders hohe Forderungen zu stellen, um Daten wieder zu entschlüsseln: 70 Millionen US-Dollar beträgt der bisherige Rekord.

REvil ist wie ein Franchise-Unternehmen organisiert: Entwickler lizenzieren die Software und geben sie an sogenannte Affiliates weiter. Sie sind die eigentlichen Hacker, die in Unternehmensnetze eindringen und Lösegeld erpressen. Sie müssen dafür einen Teil des Gewinns abgeben. Welche Rolle Nikolay K. genau gespielt haben soll, ist unklar - aus Ermittlerkreisen ist jedoch zu hören, dass er "zweifelsfrei" der Kerngruppe von REvil angehören soll und damit wohl bei jedem Hackerangriff mitverdiente.

 Ermittler verfolgen Bitcoin-Zahlungen

Der Haftbefehl ist nach Informationen  von BR und "Zeit Online" vorbereitet, monatelange Ermittlungsarbeit ist ihn geflossen. Das LKA Baden-Württemberg kam Nikolay K. über Bitcoin-Zahlungen auf die Spur. Im Frühjahr 2019 erstattete ein Software-Entwickler in der Nähe von Stuttgart Anzeige. Die Hacker waren an die Zugangsdaten eines Mitarbeiters gekommen und konnten so in die Systeme einiger Kunden eindringen.

Zu diesen gehörten auch die Staatstheater Stuttgart. Fünf Tage lang war dort der E-Mail-Verkehr lahmgelegt, statt Online-Tickets erhielten Zuschauer mit Kugelschreiber beschriebene Ersatzkarten. Um die Daten zu entschlüsseln, sollen die Staatstheater Medienberichten zufolge 15.000 Euro in einer Digitalwährung gezahlt haben.

Beim LKA Baden-Württemberg wurde im Anschluss an diesen Angriff eine Ermittlungsgruppe gegründet. Sie trägt den Namen "Krabbe" - damals war die Hacker bekannt unter dem Namen Gandcrab. Ermittler und IT-Sicherheitsexperten gehen davon aus, dass hinter REvil und Gandcrab dieselben Kriminellen stecken.

 Gespräche auf höchster politischer Ebene

IT-Sicherheitsexperten halten es für naheliegend, dass viele Ransomware-Gruppen in Russland sitzen. Im Juni drohte US-Präsident Joe Biden seinem russischen Amtskollegen Wladimir Putin mit Konsequenzen, sollte dieser nicht gegen jene Hackerbanden vorgehen, die von Russland aus operieren.

Auch die Bundesregierung spricht die Frage von Cyberbedrohungen regelmäßig gegenüber der russischen Regierung an, heißt es aus dem Auswärtigen Amt. Doch konkrete Tatverdächtige zu ermitteln, gilt als äußerst schwierig. Genau das haben die deutschen Ermittler im Fall Nikolay K. nun offenbar geschafft.

Netz-Recherchen erhärten Verdacht

Auch Reportern von BR und Zeit Online ist es gelungen, Spuren zu folgen, die Nikolay K. im Netz hinterlassen hat. So finden sich etwa Fotos aus seiner Jugend, noch ohne teure Uhren und Designerkleidung. Außerdem finden sich Anhaltspunkte, dass K. Geld erhalten hat, das direkt aus Ransomware-Vorfällen stammen soll. Wer seinen Instagram-Nutzernamen in Suchmaschinen eingibt, landet zuerst bei einer E-Mail-Adresse. Mit dieser wurden mehr als 60 Webseiten angemeldet, teilweise mit authentischen Kontaktinformationen, etwa Handynummern. Das geht aus einer Datenbank der IT-Sicherheitsfirma Domaintools hervor.

Eine dieser Handynummern ist mit einem Telegram-Account verknüpft, der sich angeblich auf den Handel mit Kryptowährungen spezialisiert hat. Auf eine dort angegebene Bitcoin-Adresse wurden Zahlungen im Wert von knapp 400.000 Euro transferiert. Diese Zahlungen stammen wahrscheinlich aus Ransomware-Vorfällen, wie es ein Experte erklärt, der sich auf das Auswerten von Bitcoin-Zahlungen spezialisiert hat. Ein weiterer geht davon aus, dass K. das Geld von jemandem bekommen habe, der für verschiedene Ransomware-Gruppen arbeitet, möglicherweise ein Affiliate. Zu diesen Gruppen gehört unter anderem REvil.

 LKA äußert sich nicht zu laufenden Ermittlungen

Offiziell wollen weder BKA noch LKA Baden-Württemberg laufende Ermittlungen kommentieren. Die zuständige Staatsanwaltschaft Stuttgart wollte sich über ein halbes Jahr lang und auf mehrfache telefonische Nachfrage nicht äußern. Nur so viel: Die Ermittlungen dauerten an.

Doch manche Ermittler vertreten die Ansicht, dass man deutlicher über diesen Ermittlungserfolg reden müsse: "Wenn wir jemanden hätten, der diese Summen bei einem Bankraub erbeutet, dann gäbe es viel mehr Druck. Aber die Gefahr wird nicht verstanden", sagt einer von ihnen. Außerdem werde durch öffentliche Berichterstattung klar, wie erfolgreich deutsche Behörden arbeiten können. Dass man sowohl über talentiertes Personal verfüge als auch über die technischen Mittel.

Urlaub in der Türkei

Dennoch ist Nikolay K. weiter auf freiem Fuß - denn deutsche Ermittlungsbehörden könnten ihn nur dann festnehmen, wenn er Russland verlässt und in ein Land reist, das nach Deutschland ausliefert. Eine Gelegenheit dafür hätte es nach Recherchen von BR und Zeit Online im vergangenen Jahr gegeben: Mit Freunden und seiner Ehefrau verbrachte der Mann seinen Sommerurlaub an der türkischen Mittelmeerküste. Zu einem Auslieferungsantrag kam es jedoch nicht. Die Gründe sind unklar.

Seit Mitte Oktober bekannt wurde, dass es internationalen Ermittlern gelungen ist, die Infrastruktur der Hacker zu kapern, dürften diese extrem vorsichtig sein. Ob Nikolay K. Bescheid weiß, dass er seit Monaten im Fokus von Ermittlungen steht, ist offen. Eine Anfrage ließ K. unbeantwortet. Solange er nicht rechtskräftig verurteilt ist, gilt die Unschuldsvermutung. Auf Instagram finden sich jedenfalls auch aus diesem Sommer Urlaubsfotos aus der Türkei. Doch die Ehefrau reiste offenbar alleine - Nikolay K. blieb dieses Mal wohl in Russland.

Über dieses Thema berichtete NDR Info am 28. Oktober 2021 um 10:25 Uhr.