Ryuk-Angriff auf Neustadt a. Rbge. führt zu Haftbefehlen gegen Tätergruppe
Hannover (pm/redk). Der Cyberangriff auf die Stadtverwaltung Neustadt am Rübenberge im August 2019 war der Ausgangspunkt für eines der bedeutendsten Ermittlungsverfahren gegen internationale Ransomware-Kriminelle in Deutschland. Die Zentralstelle zur Bekämpfung von Cybercrime bei der Staatsanwaltschaft Verden und das Fachkommissariat Cybercrime des Zentralen Kriminaldienstes (ZKD) Hannover führten die umfangreichen Ermittlungen. In enger Zusammenarbeit mit Europol, Eurojust und internationalen Partnern konnten zentrale Mitglieder der Tätergruppierung identifiziert und internationale Fahndungsmaßnahmen eingeleitet werden.
Der Angriff im Jahr 2019 hatte schwerwiegende Folgen: Monatelang war die Stadtverwaltung Neustadt nur eingeschränkt arbeitsfähig, sämtliche digitalen Abläufe waren außer Kraft gesetzt. Die Angreifer forderten eine hohe Summe in Bitcoin und drohten, andernfalls sämtliche Daten zu löschen. Die Ermittlungen ergaben, dass sich die Täter offenbar über Wochen unbemerkt Zugang zu den Systemen verschafft hatten. Auch die Backup-Systeme waren gezielt sabotiert worden.
Im Zuge der langjährigen Ermittlungen konnten Teile der Tätergruppe, die hinter der Schadsoftware „Ryuk“ steht, identifiziert werden. Inzwischen wurden gegen sechs tatverdächtige Personen internationale Haftbefehle wegen Bildung bzw. Unterstützung einer kriminellen Vereinigung im Ausland angeregt. Zwei von ihnen stehen in direktem Zusammenhang mit dem Angriff auf die Stadt Neustadt.
Zudem wurden fünf mutmaßliche Geldwäscher ermittelt, gegen die ebenfalls Fahndungsmaßnahmen angestoßen wurden. Diese sollen Kryptowährungsflüsse aus digitalen Erpressungen verwaltet haben.
Zwischen 2018 und 2021 wurden der Gruppierung insgesamt 170 Angriffe in Deutschland zugerechnet. Der dabei entstandene dokumentierte Schaden beläuft sich auf 46 Millionen Euro – die Dunkelziffer dürfte deutlich höher liegen. Besonders betroffen waren Behörden, Krankenhäuser und größere Unternehmen. Die Täter agierten hochkoordiniert, setzten verschiedene Schadprogramme wie Emotet, TrickBot und Ryuk ein, um Netzwerke auszuspähen, zu kompromittieren und schließlich zu verschlüsseln.
Die Gruppierung wird dem international operierenden Netzwerk „Wizard Spider“ zugerechnet, das arbeitsteilig organisiert ist und unter anderem Verbindungen nach Russland aufweist.
„Der Ermittlungserfolg belegt, dass durch grenzüberschreitende Polizeiarbeit auch hochprofessionell organisierte Cyberkriminalität verfolgt werden kann.“, so ein Sprecher.
Trotz dieses Erfolges warnt die Polizeidirektion Hannover vor der weiterhin bestehenden Bedrohung durch Schadsoftware. Der Schutz vor Cyberangriffen sei heute eine zentrale Säule der öffentlichen und wirtschaftlichen Sicherheit.
Die Polizei rät daher dringend:
- Halten Sie Ihre Systeme stets aktuell
- Schulen Sie Ihre Mitarbeitenden regelmäßig zum Thema IT-Sicherheit
- Führen Sie Backups regelmäßig und physisch getrennt durch
- Melden Sie Cyberangriffe sofort an Ihre örtliche Polizeidienststelle oder die Zentrale Ansprechstelle Cybercrime (ZAC)
