BKA deckt Führungsfiguren der REvil-Ransomware auf – 130 Angriffe in Deutschland mit über 35 Millionen Euro Schaden

Das Bundeskriminalamt (BKA) hat einen wichtigen Schlag gegen die Ransomware-Szene gelandet: Die echten Identitäten von zwei Schlüsselfiguren der inzwischen aufgelösten REvil-Gruppe (auch bekannt als Sodinokibi) wurden enthüllt. Die Vorwürfe wiegen schwer – allein in Deutschland sollen die beiden für 130 Ransomware-Angriffe verantwortlich sein.

Die Identifizierten: Ein Repräsentant und ein Entwickler

Der erste der beiden Beschuldigten trat unter dem Alias UNKN auf und fungierte als öffentliches Gesicht und Repräsentant der Gruppe. Bereits im Juni 2019 warb er auf dem Cybercrime-Forum XSS für die Malware. Hinter dem Pseudonym steckt der 31-jährige russische Staatsbürger Daniil Maksimovich Shchukin, der auch unter den Namen Oneiilk2, Oneillk2, Oneillk22 und GandCrab aktiv war. Die Enthüllung wurde erstmals vom unabhängigen Sicherheitsjournalisten Brian Krebs berichtet.

Das BKA wirft Shchukin vor, spätestens von Anfang 2019 bis Juli 2021 als einer der Anführer der Gruppe agiert zu haben. In dieser Zeit erpresste die Gruppe hohe Lösegelder im Austausch gegen Entschlüsselungstools und das Unterlassen von Datenlecks.

Die zweite identifizierte Person ist Anatoly Sergeevitsch Kravchuk, ein 43-jähriger Russe aus der ukrainischen Stadt Makiivka. Er soll in dem gleichen Zeitraum als einer der Hauptentwickler der REvil-Malware fungiert haben.

Die Bilanz der Angriffe in Deutschland

Die Zahlen, die das BKA zu den Aktivitäten der beiden in Deutschland vorlegt, sind alarmierend:

• 130 Ransomware-Angriffe wurden insgesamt gezählt
• In 25 Fällen zahlten die Opfer Lösegeld, insgesamt 1,9 Millionen Euro
• Die Gesamtschadenssumme aller Vorfälle übersteigt 35,4 Millionen Euro

Diese Zahlen unterstreichen zum einen, wie lukrativ das Ransomware-as-a-Service (RaaS) Geschäftsmodell für die Täter ist. Zum anderen verdeutlichen sie die enorme Diskrepanz zwischen gezahltem Lösegeld und dem tatsächlichen Gesamtschaden. Ausfallzeiten, Datenverlust, Image-Schäden und Wiederherstellungskosten treiben die Summen in astronomische Höhen – ein Umstand, der oft vergessen wird, wenn lediglich über die Erpressungssummen berichtet wird.

Der Aufstieg und Fall von REvil

REvil, auch bekannt unter den Aliasnamen Water Mare und Gold Southfield, war eine der aktivsten und profiliertesten Ransomware-Gruppen weltweit. Sie ging aus der GandCrab-Ransomware hervor und sorgte mit Angriffen auf Großunternehmen wie dem Fleischkonzern JBS und dem IT-Dienstleister Kaseya für internationale Schlagzeilen. Der Kaseya-Angriff allein betraf hunderte Unternehmen gleichzeitig und zeigte die Hebelwirkung von supply-chain-Kompromittierungen im Ransomware-Kontext.

Im Juli 2021 ging die Gruppe zunächst unerwartet offline, tauchte aber zwei Monate später wieder auf. Im Oktober 2021 wurde der Betrieb dann endgültig eingestellt, nachdem die Daten-Leak-Seite im Rahmen einer Strafverfolgungsaktion unzugänglich gemacht wurde. Kurz darauf meldeten rumänische Behörden die Festnahme von zwei REvil-Affiliates.

Ein seltener russischer Schlag gegen Cybercrime

Bemerkenswert ist, dass im Januar 2022 der russische Inlandsgeheimdienst FSB die Festnahme mehrerer REvil-Mitglieder meldete und die Infrastruktur der Gruppe zerschlug. Dies war ein ungewöhnlicher Schritt, da Russland bei der Verfolgung von Cyberkriminellen, die keine russischen Ziele angreifen, traditionell als wenig kooperativ gilt. Im Oktober 2024 wurden laut dem russischen Nachrichtenmagazin Kommersant vier dieser Mitglieder zu mehrjährigen Haftstrafen verurteilt.

Ob diese Verhaftungen echter Strafverfolgungseifer waren oder eher als diplomatisches Signal an den Westen – kurz vor dem Hintergrund des Ukraine-Krieges – gedient haben, bleibt Spekulation. Fakt ist, dass die Verurteilungen in Russland stattfanden, die nun vom BKA identifizierten Drahtzieher aber weiterhin auf der Flucht sind.

Mit dem Untergang von REvil verschwand auch UNKN aus den Foren. Ein weiteres Mitglied übernahm unter dem Namen 0_neday die öffentliche Repräsentation, bevor auch diese Spur endete.

Vom Müllhaufen zum Millionär

In einem Interview mit Recorded Future im März 2021 gab UNKN seltene Einblicke in seine Motivation. Er behauptete, bereits seit 2007 im Ransomware-Geschäft tätig zu sein und zeitweise bis zu 60 Affiliates beschäftigt zu haben. Seine Schilderungen seiner Jugend sind drastisch:

"Als Kind wühlte ich auf Müllhaufen und rauchte Zigarettenstummel. Ich ging 10 km zur Schule. Ich trug ein halbes Jahr lang dieselben Kleidung. In meiner Jugend, in einer Kommunalka, aß ich zwei oder sogar drei Tage lang nichts. Jetzt bin ich Millionär."

Dieses Zitat illustriert die extreme soziale Kluft, die oft hinter solchen Karrieren steht. Es zeigt, wie Armut und Perspektivlosigkeit als Radikalisierungsfaktor für Cybercrime wirken können. Die Romantisierung dieses Aufstiegs darf jedoch nicht darüber hinwegtäuschen, dass dieser Reichtum auf der Not tausender Unternehmen und Mitarbeiter basiert.

Fazit: Ein Schritt, aber kein Endpunkt

Die Identifizierung der REvil-Führungsfiguren durch das BKA ist ein wichtiger Erfolg im Kampf gegen Ransomware. Sie zeigt, dass auch Jahre nach der Zerschlagung einer Gruppe die Aufarbeitung nicht aufhört und Täter nicht in der Anonymität untergehen. Doch die strukturellen Probleme bleiben bestehen: Solange RaaS-Modelle florieren, Cryptocurrencies den Geldfluss verschleiern und Zufluchtsländer die Auslieferung verweigern, wird die Bedrohung nicht verschwinden.

Die Schadenshöhe von über 35 Millionen Euro allein in Deutschland macht eines deutlich: Prävention, robuste Backup-Strategien und eine funktionierende internationale Zusammenarbeit bleiben die wichtigsten Instrumente gegen die Erpressungsökonomie des 21. Jahrhunderts.