Zürich ZH: Ermittlungserfolg gegen Ransomware-Gruppierung

Im Rahmen einer international koordinierten Aktion gegen eine Ransomware-Gruppierung führt die Zürcher Staatsanwaltschaft ein Strafverfahren gegen eine beschuldigte Person.

Gleichzeitig werteten Cyberermittler der Kantonspolizei Zürich in den letzten Monaten intensiv die bei dieser Person sichergestellten Datenträger aus. Diese Auswertung brachte zahlreiche Private Keys zum Vorschein.

Mit diesen haben geschädigte Unternehmen die Möglichkeit, ihre verschlüsselten Daten wiederherzustellen. Unter dem Cyber-Kriminalitätsphänomen «Ransomware» versteht man die Verschlüsselung von Daten auf IT-Netzwerken.

Für die Wiederherstellung der Daten wird anschliessend von den Geschädigten ein Lösegeld verlangt. Weltweit ist seit mehreren Jahren eine Zunahme dieses Phänomens zu verzeichnen.

Im Rahmen einer international koordinierten Aktion gelang es Strafverfolgungsbehörden aus Frankreich, den Niederlanden, Norwegen, der Ukraine, den USA und der Schweiz mit Unterstützung von Europol und Eurojust, gegen eine weltweit tätige Gruppe von Cyberkriminellen vorzugehen, die mit den Schadprogrammen «LockerGoga» und «Megacortex» operierten.

Der Täterschaft wird vorgeworfen, an Ransomware-Attacken gegen über 1'800 Personen und Institutionen in 71 Ländern beteiligt gewesen zu sein und dabei einen geschätzten Schaden von insgesamt mehreren 100 Millionen Franken verursacht zu haben.

In diesem Zusammenhang hat die Zürcher Staatsanwaltschaft von der Staatsanwaltschaft Basel-Landschaft ein Strafverfahren gegen einen beschuldigten Mann übernommen.

Dieser war Ende Oktober 2021 wegen des Verdachts auf Geldwäscherei und Datenbeschädigung von den basellandschaftlichen Strafverfolgungsbehörden in einer gemeinsamen Aktion und in Anwesenheit französischer Ermittler verhaftet worden.

Der Beschuldigte befindet sich derzeit im Kanton Zürich in Untersuchungshaft. Für ihn gilt wie üblich bis zu einem rechtskräftigen Verfahrensabschluss die Unschuldsvermutung.

Parallel zum laufenden Strafverfahren der Staatsanwaltschaft haben die Cyberermittlerinnen und -ermittler der Kantonspolizei Zürich in den letzten Monaten intensiv die anlässlich einer Hausdurchsuchung im Kanton Basel-Landschaft sichergestellten Datenträger ausgewertet.

Diese Auswertung brachte zahlreiche Private Keys von Ransomware-Angriffen zum Vorschein.

Diese Keys ermöglichen es geschädigten Unternehmen und Institutionen, die zuvor mit den Schadprogrammen «LockerGoga» oder «MegaCortex» verschlüsselten Daten wiederherzustellen.

In Kooperation mit Europol, dem Projekt «No More Ransom» und der Firma Bitdefender wird ein Tool bereitgestellt, welches die Geschädigten bei der Entschlüsselung von LockerGoga unterstützt. Dieses ist unter der Website www.nomoreransom.org abrufbar.

Das Tool zur Entschlüsselung von MegaCortex wird in Kürze veröffentlicht.

Geschädigte, die von Angriffen mit den genannten Schadprogrammen betroffen sind, werden dringend aufgefordert, in ihrem jeweiligen Heimatland Strafanzeige zu erstatten, sofern sie dies nicht bereits getan haben.

Vor Ransomware-Angriffen kann man sich schützen. Nebst dem sicheren Umgang mit E-Mails, dem Blockieren des Empfangs von gefährlichen E-Mail Anhängen und dem Erstellen von regelmässigen Sicherungskopien sogenannten Backups wird dringend die Aktivierung von 2-Faktor-Authentifizierungen sowie das regelmässige Updaten aller IT-Systeme empfohlen.