Am gestrigen Montag (17.01.2022), ist es den Ermittlern der Polizeidirektion Hannover und der Staatsanwaltschaft Verden gelungen, mehrere Server, von denen cyberkriminelle Gruppierungen agieren, vom Netz zu nehmen (sog. „Takedown“). Bei der groß angelegten Operation wirkten weltweit verschiedene Strafverfolgungsbehörden mit.
Über zwei Jahre akribische Ermittlungsarbeit sowie die Vernetzung von zehn Ländern und zwölf internationaler Strafverfolgungsbehörden verhindern Schäden in Millionenhöhe: Der Ausgangspunkt für diesen erfolgreichen Schlag war ausgerechnet der Cyberangriff auf die Stadtverwaltung Neustadt am Rübenberge im August 2019. Zuständig für die Ermittlungen waren die Fachinspektion für Straftaten aus dem Bereich Cybercrime der Polizeidirektion Hannover in Zusammenarbeit mit der für ebenfalls diesen Phänomenbereich zuständigen Staatsanwaltschaft Verden. Das Netzwerk, von dem die Angriffe aus koordiniert wurden, wurde ausfindig gemacht und am gestrigen Montag vom Netz genommen. Dass dieser im Fachjargon genannte „Takedown“ möglich war, ist insbesondere der länderübergreifenden Vernetzung und Zusammenarbeit verschiedener Strafverfolgungsbehörden auf nationaler und internationaler Ebene zu verdanken.
Der Niedersächsische Minister für Inneres und Sport, Boris Pistorius, sagt: „Der Takedown dieses Netzwerkes, über das tausende Cyberkriminelle ihre Kommunikation und Pläne ausgetauscht haben, ist ein großartiger Erfolg für die Beamtinnen und Beamten, insbesondere für die beteiligten Beamtinnen und Beamte der Polizeidirektion Hannover. Das zeigt erneut, dass wir als Sicherheitsbehörden dazu in der Lage sind, schwerkriminellen Cyber-Netzwerken das Handwerk zu legen und tausende Straftaten im Cyberraum aufzudecken und aufzuklären. Das schärfste Schwert gegen international agierende Verbrecher ist ein gemeinsames und eng abgestimmtes Vorgehen. Damit zeigen wir den Kriminellen, dass der Staat Mittel und Ressourcen zur Verfügung hat, wirksam dagegen vorzugehen. Ich bedanke mich ganz besonders bei allen an dieser Aktion beteiligten Stellen, insbesondere natürlich bei den zuständigen Beamtinnen und Beamten der PD Hannover, mit denen ich auch schon persönlich über ihre hervorragende Arbeit sprechen konnte und mich persönlich bei ihnen bedankt habe.“
Für die Justiz äußert sich Justizministerin Barbara Havliza zu dem Ermittlungserfolg: „Cyberangriffe auf Krankenhäuser oder Verwaltungen sind eine reale Bedrohung für uns alle. Ist die Schadsoftware erstmal im System, sind die Folgen oft katastrophal. Die Lösegeldforderungen gehen in die Millionen, der Verlust sensibler Daten kann einen riesigen Schaden verursachen. Die kriminelle Energie hinter diesen Taten ist groß und maximal skrupellos! Umso mehr freut es mich, dass die Staatsanwaltschaft Verden und die Polizeidirektion Hannover mehrere Server vom Netz nehmen konnten, die von Cyberkriminellen genutzt wurden. Unsere Ermittler agieren hochprofessionell, gut vernetzt und international. Ich danke allen Beteiligten bei Polizei und Justiz für die gute Arbeit! Mit dem Takedown zeigen wir: Wir lassen es nicht zu, dass in den dunklen Ecken des Netzes rechtsfreie Räume entstehen.“
Minister Pistorius, der auch Mitglied im Kontrollgremium von Europol ist, fügt hinzu, dass „diese Aktion ohne die herausragende Unterstützung von Europol in dieser Form nicht möglich gewesen wäre. Ein weiterer Ausbau der Kompetenzen und Mittel für Europol halte ich für zwingend. Täter agieren längst höchst dynamisch und grenzüberschreitend. Die Antwort kann nur eine starke europäische Behörde im Netzwerk der europäischen Sicherheitsbehörden sein.“
Beteiligt an der Operation waren die europäische Polizeibehörde Europol und die europäische Justizbehörde Eurojust. Diese stellten den Kontakt zu Ermittlern aus den Niederlanden, Kanada, der Tschechischen Republik, Frankreich, Ungarn, Lettland, der Ukraine, dem UK und den USA her. Die Federführung hatten dabei die Ermittler aus Hannover inne. Logistische und technische Unterstützung wurde dabei von Europol, z. B. in Form der nötigen Infrastruktur für den Austausch der beteiligten Länder, bereitgestellt. Finanzielle Förderung erhielt die Ermittlungsgruppe über die Plattform EMPACT (European Multidisciplinary Platform Against Criminal Threats), die als Instrument für die Bekämpfung der organisierten und schweren Kriminalität auf europäischer und internationaler Ebene dient. Eingebunden in die Operation waren auch europäische Gerichte, die die jeweiligen Beschlüsse für alle ergriffenen Maßnahmen erließen.
Es wurden alle 15 Standorte der Server ermittelt. Diese Server gehörten zu einem Internetdienstleister, der seinen Kunden sogenanntes VPN (englisch für Virtual Private Network) zur Verfügung stellt. Ein VPN gewährleistet den Nutzenden geschützte und anonyme Kommunikation, sowie den ebenso abgesicherten Zugang zum Internet. Dabei wird der Datenverkehr über Server an anderen Standorten als denen der genutzten Endgeräte verschlüsselt und weitergeleitet. Der hier betroffene Dienstleister bot seinen Kunden auch Double VPN an. Die Onlineaktivitäten werden dabei nicht nur hinter einem, sondern gleich zwei Servern versteckt. Der Datenverkehr wird vom Endgerät auf einen entfernten VPN-Server geschickt. Von dort wiederum auf einen anderen VPN-Server mit anderem Standort. Anschließend gelangt man mit dem Endgerät an das gewünschte Ziel im Internet. Diese Dienste werden von vielen Anbietern weltweit bereitgestellt und auch für legale Zwecke genutzt, um sich vor jeglicher Nachverfolgung zu schützen (wie s. B. von im Ausland tätigen Journalisten als Schutz vor dem Zugriff eines Regimes, über das sie berichten). Seit diesem Montag aber sehen alle Nutzenden des betroffenen Dienstleisters nun anstelle der gewohnten Oberfläche einen sog. „Splashscreen“ – ein Text der mit dem Satz „This domain has been seized“ eingeleitet wird und die behördlichen Ermittlungen skizziert (siehe Anhang).
Bei der im hier vorliegenden Fall über die Server verschickte Schadsoftware handelt es sich um die Schadsoftware „Ryuk“ (zur Funktionsweise siehe Anhang dieser Meldung). „Ryuk“ wird international durch kriminelle Vereinigungen genutzt, um Behörden, Firmen und Einrichtungen zu attackieren und von diesen, Lösegeld zu erpressen, damit deren digitale Infrastruktur wieder nutzbar wird. Bei einem Angriff mit dieser Schadsoftware verursachen die Täter immer wieder Schäden in Millionenhöhe. Über die nun abgeschalteten Server vernetzten sich etliche kriminelle Gruppierungen, bauten organisierte Strukturen auf und begingen Attacken auf Krankenhäuser, Universitäten und Unternehmen auch mit diverser anderer Ransomware als nur „Ryuk“.
„Ein wichtiger Aspekt dieser Maßnahme besteht auch darin, zu zeigen, dass diese Dienste nicht sicher sind, wenn der Dienstanbieter rechtswidrige Handlungen unterstützt und keine Informationen über rechtliche Ersuchen der Strafverfolgungsbehörden übermittelt. Diese Operation zeigt das Ergebnis einer wirksamen Zusammenarbeit der internationalen Strafverfolgungsbehörden, die es ermöglichen, ein weltweites Netzwerk zu schließen und solche Dienste zu zerstören“, äußert sich der Präsident der Polizeidirektion Hannover, Volker Kluwe, zur erfolgreichen Operation.
Die Zusammenarbeit der verschiedenen Behörden in diesem Verfahren hat nicht nur dazu beigetragen, die von den Servern ausgehenden kriminellen Aktivitäten zu unterbinden, sondern auch das funktionierende Netzwerk der internationalen Strafverfolgungsbehörden weiter zu verdichten und Ansätze für weitere Ermittlungsverfahren im Bereich Cybercrime zu erlangen.
Ryuk – so funktioniert die Erpressungssoftware
Bei dem Programm „Ryuk“ handelt es sich um sogenannte Ransomware (Englisch ransom = Lösegeld, ware = Abkürzung für Software). Gelangt das Programm auf einen Computer oder ein Netzwerk, fährt es mehrere Hundert Prozesse und Dienste des Systems herunter, die es daran hindern können, die folgenden Schritte auszuführen. Als Nächstes verschlüsselt das Programm Dateien, die sensible Daten und Informationen enthalten könnten wie Fotos, Videos, Dokumente oder auch ganze Datenbanken. Gelingt der Ransomware das Eindringen in einen PC oder ein Netzwerk, wird auf dem Endgerät eine Text-Datei mit einer Lösegeldforderung hinterlassen. In dem Text wird darüber hinaus beschrieben, dass eventuelle Systemkopien (z. B. Backups) ebenfalls verschlüsselt oder sogar gelöscht wurden. Die Schadsoftware zu entfernen oder das System auf einen Zeitpunkt vor dem Angriff zurückzusetzen, führt dazu, dass auch im Fall einer Zahlung die Dateien nicht wieder entschlüsselt werden könnten. Eine manuelle Entschlüsselung, ohne den Schlüssel von den Tätern zu erwerben, ist bei dem jetzigen Stand der Technik usgeschlossen. Das Lösegeld muss also zum Erhalt des Systems gezahlt werden. Dringt die Schadsoftware in ein Netzwerk von Computern ein, ist sie in der Lage, auch ausgeschaltete Rechner des Netzwerkes einzuschalten (z. B. über eine WLAN-Verbindung), auch diese zu infizieren.
Das Befallen der Netzwerke und PCs erfolgt meist über eine sogenannte Phishing-Mail – eine E-Mail mit einem Link oder einer Datei im Anhang. Öffnet man Link oder Datei, installiert sich Ransomware, die „Ryuk“ nachlädt und somit als „Türöffner“ dient. Das dann infizierte Endgerät wird durch die Täter als Einfallstor zu großen Netzwerken genutzt, um diese auszuspähen und die Ransomware auf alle anderen Geräte des Netzes auszurollen. Die Phishing-Mails sind bewusst so formuliert, dass die Adressaten annehmen, dass es sich um eine rechtmäßige Nachricht handelt und das Öffnen des Anhangs stelle keine Gefahr darstellt.
Ziel der Angriffe von „Ryuk“ sind meist Firmen, Behörden und Institutionen, deren Funktion an eine schnelle Infrastruktur gebunden ist und/oder die sensible Kundendaten verwalten. Also Einrichtungen, bei denen ein Befall der Schadsoftware großen Schaden zum Nachteil vieler Tausend Personen und in Millionenhöhe anrichten kann und die Erpresser somit die Zeit als Druckmittel haben. So werden zum Beispiel Krankenhäuser mit der Ransomware „Ryuk“ angegriffen. „Ryuk“ wird auch als sogenanntes RaaS-Programm (RaaS = Ransomware as a Service) angeboten. Eine kriminelle Gruppierung bietet es einer anderen an und wird prozentual an der
erpressten Beute beteiligt.