Verhaftet: Ransomware-Gruppe DoppelPaymer

Verhaftet: Ransomware-Gruppe DoppelPaymer

Beitrag teilen

Wieder wurden die Kernmitglieder einer Ransomware-Gruppe geschnappt: die Köpfe der APT-Gruppe DoppelPaymer wurden in der Ukraine und Deutschland geschnappt durch einen Zusammenarbeit der Polizei, Europol, FBI und vielen anderen Behörden. Die Gruppe wurde bekannt durch die Attacke auf das Universitätsklinikum Düsseldorf.

Bereits am 28. Februar 2023 nahmen das deutsche Landeskriminalamt Nordrhein-Westfalen und die ukrainische Nationalpolizei mit Unterstützung von Europol, der niederländischen Polizei (Politie) und dem Federal Bureau of Investigation der Vereinigten Staaten mutmaßliche Kernmitglieder ins Visier der kriminellen Gruppe, die für großangelegte Cyberangriffe mit der DoppelPaymer-Ransomware verantwortlich ist.

🔎 Die ukrainische Nationalpolizei unterstütze Europol bei der Razzia (Bild: Europol).

DoppelPalmer griff auch Krankenhäuser an

Die Ransomware tauchte 2019 auf, als Cyberkriminelle damit begannen, Angriffe auf Organisationen und kritische Infrastrukturen und Branchen zu starten. Basierend auf der BitPaymer-Ransomware und Teil der Dridex-Malware-Familie nutzte DoppelPaymer ein einzigartiges Tool, das in der Lage ist, Abwehrmechanismen zu kompromittieren, indem es den sicherheitsrelevanten Prozess der angegriffenen Systeme beendet. Die DoppelPaymer-Angriffe wurden auch durch Emotet ermöglicht .

Die Ransomware wurde über verschiedene Kanäle verbreitet, darunter Phishing- und Spam-E-Mails mit angehängten Dokumenten, die schädlichen Code – entweder JavaScript oder VBScript – enthielten. Die kriminelle Gruppe hinter dieser Ransomware stützte sich auf ein doppeltes Erpressungssystem und nutzte eine Leak-Website, die Anfang 2020 von den kriminellen Akteuren gestartet wurde. Den deutschen Behörden sind 37 Opfer dieser Ransomware-Gruppe bekannt, allesamt Unternehmen. Einer der schwersten Angriffe wurde gegen das Universitätsklinikum Düsseldorf verübt. In den USA zahlten Opfer zwischen Mai 2019 und März 2021 mindestens 40 Millionen Euro.

Dutzende Millionen an Beute

Während der gleichzeitigen Aktionen durchsuchten deutsche Beamte das Haus eines deutschen Staatsangehörigen, der vermutlich eine wichtige Rolle in der DoppelPaymer-Ransomware-Gruppe gespielt hat. Die Ermittler analysieren derzeit die beschlagnahmten Geräte, um die genaue Rolle des Verdächtigen in der Struktur der Ransomware-Gruppe zu ermitteln. Gleichzeitig und trotz der derzeit äußerst schwierigen Sicherheitslage, in der sich die Ukraine aufgrund der russischen Invasion befindet, verhörten ukrainische Polizeibeamte einen ukrainischen Staatsangehörigen, der ebenfalls als Mitglied der DoppelPaymer-Kerngruppe vermutet wird. Die ukrainischen Beamten durchsuchten zwei Orte, einen in Kiew und einen in Charkiw. Bei den Durchsuchungen beschlagnahmten sie elektronische Geräte, die derzeit forensisch untersucht werden.

Von Beginn der Ermittlungen an erleichterte Europol den Informationsaustausch, koordinierte die internationale Strafverfolgungszusammenarbeit und unterstützte die operativen Tätigkeiten. Europol leistete auch analytische Unterstützung, indem es verfügbare Daten mit verschiedenen Kriminalfällen innerhalb und außerhalb der EU verknüpfte, und unterstützte die Ermittlungen mit Kryptowährung, Malware, Entschlüsselung und forensischer Analyse.

Red./sel

Mehr bei Europol.com

 

Passende Artikel zum Thema

Datensicherheit & Backup – mehr als ein Fallschirm für Unternehmen

Unternehmen benötigen eine Lösung für Backup, Disaster-Recovery, Archivierung und auch für ihre kalten Daten. Sechs Fragen, sechs Antworten von Hannes ➡ Weiterlesen

Ransomware-Gruppe 8base bedroht KMUs

8base ist eine der aktivsten Ransomware-Gruppen. Sie fokussierte sich in diesem Sommer auf kleine und mittlere Unternehmen. Durch niedrige Sicherheitsbudgets ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

ALPHV: Casinos und Hotels in Las Vegas per Hack lahmgelegt

MGM Resorts, ein US-amerikanischer Betreiber von Hotels und Spielcasinos, wurde vor kurzem von einem Ransomware-Angriff heimgesucht, der mehrere Systeme an ➡ Weiterlesen

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Microsoft: 38 TByte Daten versehentlich offengelegt

Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen

Daten vor Double Extortion Ransomware schützen

Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen

Mit generativer KI Schwachstellen schneller beheben

KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen