DEN HAAG
INGO ZWANK

Operation „Bakovia“: Fünf Personen verhaftet, die Schadsoftware in ganz Europa und in den USA verbreitet haben

In der letzten Woche haben rumänische Behörden drei Personen verhaftet, die im Verdacht stehen, Computersysteme infiziert zu haben, indem sie die Malware CTB-Locker (Curve-Tor-Bitcoin Locker) eingesetzt haben - dies ist eine Form der Dateiverschlüsselung von Schadsoftware. Zwei weitere Verdächtige aus der gleichen kriminellen Gruppe wurden in Bukarest in einer parallelen Untersuchung in Verbindung mit den USA festgenommen. Das teilte Europol gestern mit.

CTB-Locker-Software „Critroni“

Während dieser Operation namens „Bakovia“ wurden in Rumänien sechs Häuser durch eine gemeinsame Einheit der rumänischen Polizei (Dienststelle zur Bekämpfung der Cyberkriminalität), der rumänischen und niederländischen Staatsanwaltschaft, der niederländischen Nationalpolizei, der britischen „National Crime Agency“, dem FBI unter Unterstützung des Europol-Zentrums für Cyberkriminalität und der Gemeinsamen Task-Force für Cyberkriminalität (J-CAT) untersucht.

Als Folge der Recherchen in Rumänien beschlagnahmten Ermittler eine beachtliche Menge an Festplatten, Laptops, externen Speichergeräten, Kryptowährungs-Mining-Geräten und zahlreichen Dokumenten. Der kriminellen Bande wird unerlaubter Zugriff auf Computer, Behinderungen eines Computersystems, Missbrauch von Geräten mit der Absicht, Computerkriminalität und Erpressung zu begehen, vorgeworfen.

Anfang 2017 erhielten die rumänischen Behörden detaillierte Informationen von der niederländischen Abteilung für High-Tech-Kriminalität und anderen Behörden, dass eine Gruppe rumänischer Staatsangehöriger an der Versendung von Spam-Nachrichten beteiligt sei.

Diese Spam wurde speziell so entworfen, dass sie von bekannten Unternehmen in Ländern wie Italien, den Niederlanden und Großbritannien gesendet wurde. Die Absicht der Spam-Nachrichten war es, Computersysteme zu infizieren und ihre Daten mit der CTB-Locker-Software „Critroni“ zu verschlüsseln. Jede E-Mail enthielt einen Anhang, häufig in Form einer archivierten Rechnung, der eine schädliche Datei enthielt. Sobald dieser Anhang auf einem Windows-System geöffnet wurde, verschlüsselte die Malware Dateien auf dem infizierten Gerät.

CTB-Locker wurde erstmals 2014 entdeckt und war eine der ersten Ransomware-Varianten, die der Browser Tor nutzte, um seine Befehls- und Kontrollinfrastruktur zu verstecken.

Es richtet sich an fast alle Versionen von Windows, einschließlich XP, Vista, 7 und 8. Nach der Infektion werden alle Dokumente, Fotos, Musik, Videos usw. auf dem Gerät asymmetrisch verschlüsselt, was es sehr schwierig macht, die Dateien zu entschlüsseln. Der Schlüssel im Besitz der Verbrecher kommt, wenn Opfer das Lösegeld zahlen.

Ransomware verschlüsselt Dateien und fordert Lösegeld

Als Ergebnis der Strafverfolgung wurden bis heute mehr als 170 Opfer aus mehreren europäischen Ländern identifiziert; sie stellten alle Anzeige.

Neben der Verbreitung von CTB-Locker werden auch zwei Personen innerhalb derselben rumänischen Bande verdächtigt, die Cerber-Ransomware verteilt zu haben. Sie steht im Verdacht, eine große Anzahl von Computersystemen in den USA kontaminiert zu haben. Der US-Geheimdienst hat eine Untersuchung eingeleitet. Schnell stellte sich heraus, dass die gleiche rumänische Gruppe hinter diesen beiden Angriffen stand.

Die Untersuchung in diesem Fall ergab, dass die Verdächtigen die Malware nicht selbst entwickelt, sondern von bestimmten Entwicklern erworben haben, bevor sie verschiedene eigene Infektionsaktionen gestartet haben. Dieser Modus Operandi wird Affiliation-Programm genannt und ist „Ransomware-as-a-Service“, eine Form der Cyberkriminalität, die Kriminelle hauptsächlich im „Dark Web“ verwenden, wo kriminelle Dienste und auch „Werkzeuge“ wie eben Schadsoftware angeboten werden.