[datensicherheit.de, 16.01.2026] Das Bundeskriminalamt (BKA) meldet, dass es zusammen mit der Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – sowie mit Strafverfolgungsbehörden aus den Niederlanden, der Schweiz, der Ukraine und Großbritannien gegen Akteure der Ransomware-Gruppierung „Black Basta“ vorgegangen ist. In diesem Zusammenhang seien Wohnräume von zwei Beschuldigten in der Ukraine durchsucht und Beweismittel gesichert worden. Gegen den mutmaßlichen Kopf dieser Ransomware-Gruppierung wird durch ZIT und BKA öffentlich mit Haftbefehl gefahndet.

„Black Basta“-Erpressung von mehr als 100 Unternehmen bzw. Institutionen in Deutschland

Bei „Black Basta“ handele es sich um eine der aktivsten Ransomware-Gruppierungen der letzten Jahre. Zu ihrem Zielspektrum gehörten überwiegend Unternehmen westlicher Industrienationen. Unter Einsatz der gleichnamigen Schadsoftware und weiterer Malware habe „Black Basta“ Computernetzwerke kompromittiert, sensible Daten gestohlen, die Systeme verschlüsselt und Lösegelder für deren Entschlüsselung erpresst.

• „Im Zeitraum von März 2022 bis Februar 2025 war die Gruppierung für die Erpressung von mehr als 100 Unternehmen und Institutionen im Bundesgebiet sowie ca. 600 weiteren geschädigten Organisationen weltweit verantwortlich.“

Durch ihre illegalen Aktivitäten habe sie Geldbeträge im dreistelligen Millionenbereich erlangt – davon alleine in Deutschland mehr als 20 Millionen Euro. Zu den Opfern zählten überwiegend Unternehmen, aber auch Krankenhäuser, öffentliche Einrichtungen und Behörden.

Gewerbs- und bandenmäßige Erpressung sowie Computersabotage durch „Black Basta“

Gegen die beschuldigten Akteure der Ransomware-Gruppierung „Black Basta“ besteht laut BKA u.a. der Verdacht der „Bildung einer kriminellen Vereinigung“ sowie der „gewerbs- und bandenmäßigen Erpressung und Computersabotage“.

• Die Durchsuchungen in der Ukraine hätten sich gegen mutmaßliche Mitglieder der Ransomware-Gruppierung mit ukrainischer Staatsangehörigkeit gerichtet, denen sogenanntes Hash-Cracking vorgeworfen werde. „Hash-Cracking“ bezeichnet den Prozess, bei dem ein gesuchtes Passwort durch systematisches Berechnen eines erbeuteten Hash-Wertes bestimmt wird. Über die so erlangten Zugangsdaten könnten sich Angreifer über Account- und Systemgrenzen hinweg im Netzwerk des Opfers ausbreiten. Ziel dabei sei, Zugänge zu möglichst vielen relevanten Systemen und sensiblen Daten zu erhalten, um darauf die Ransomware ausführen zu können.

Die Maßnahmen gegen diese Beschuldigten seien von der ukrainischen Cyberpolizei, Teil der Nationalpolizei der Ukraine und der ukrainische Generalstaatsanwaltschaft (Office of the Prosecut-or General of Ukraine) in den ukrainischen Verwaltungsregionen Iwano-Frankiwsk und Lwiw umgesetzt worden. Dabei seien die Wohnräume der Beschuldigten durchsucht und Beweismittel gesichert worden.

ZIT und BKA sowie EUROPOL und INTERPOL fahnden nach „Black Basta“-Gründer

Im Zuge der Ermittlungen sei auch der mutmaßliche Rädelsführer dieser Tätergruppierung identifiziert worden: „Gegen diesen, einen russischen Staatsbürger, haben ZIT und BKA einen Haftbefehl erwirkt. Ihm wird vorgeworfen, die Gruppierung ,Black Basta’ gegründet und geleitet zu haben.“

• Zuvor sei er mutmaßlich bereits als Geschäftspartner der Ransomware-Gruppierung „Conti“ tätig gewesen.

ZIT und BKA fahnden öffentlich auch mit Unterstützung von EUROPOL und INTERPOL. Lichtbilder und Beschreibungen zu der gesuchten Person können online auf der betreffenden BKA-Webseite abgerufen werden. Die internationalen Fahndungen von EUROPOL und INTERPOL sind ebenfalls online abrufbar.

Fortsetzung einer andauernden Kooperation bei Ermittlungen gegen „Black Basta“

Bei den aktuellen Maßnahmen der deutschen und ukrainischen Behörden handele es sich um die Fortsetzung einer andauernden Kooperation. Bereits Ende August 2025 hätten ukrainische Beamte auf Ersuchen von ZIT und BKA die Wohnräume eines weiteren Mitglieds der Gruppierung in der Nähe von Charkiw durchsucht, Beweismittel gesichert und den Beschuldigten zum Tatvorwurf vernommen.

• Dieser stehe im Verdacht, als sogenannter Crypter dafür gesorgt zu haben, dass die eingesetzte Schadsoftware von Antiviren-Programmen nicht als solche erkannt worden sei.

Den Maßnahmen vorangegangen waren demnach gemeinsame, international koordinierte Ermittlungen der ZIT, des BKA, des Schweizer Bundesamts für Polizei (fedpol), der Schweizer Bundesanwaltschaft (BA), der niederländischen „National High Tech Crime Unit“ (NHTCU) und der britischen „South East Regional Organised Crime Unit“ (SEROCU) sowie eigenständige Ermittlungen der ukrainischen Nationalpolizei in Kiew und Charkiw und der ukrainischen Generalstaatsanwaltschaft.

Weitere Informationen zum Thema:

Bundeskriminalamt
Der gesetzliche Auftrag / Wie bei jeder Behörde ergeben sich Zuständigkeiten und Befugnisse des Bundeskriminalamtes aus gesetzlichen Regelungen. Der Auftrag des BKA ist im Grundgesetz und im Gesetz über das Bundeskriminalamt beschrieben.

Bundeskriminalamt
Erpressung im besonders schweren Fall, Bildung/Rädelsführerschaft einer kriminellen Vereinigung und weitere Straftaten

Staatsanwaltschaften Hessen
GStA / Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität (ZIT)

EUROPOL
Governance & Accountability / Like any EU agency, Europol functions according to a system of controls, checks and balances

EU MOST WANTED
Europe’s most wanted fugitives

INTERPOL
What is INTERPOL?

datensicherheit.de, 12.02.2025
OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt / Neuer Claroty-Report zeigt OT-Bedrohungen durch Ransomware und unsichere Verbindungen in Produktion, Transport und Logistik sowie natürliche Ressourcen auf

datensicherheit.de, 23.08.2024
Neuer WithSecure-Report zeigt: Jüngste Schläge gegen Ransomware-Gruppen hatten Wirkung / „Produktivität“ der Ransomware-Branche nach ihrem Höhepunkt Ende 2023 nicht weiter angestiegen

datensicherheit.de, 25.11.2023
Untersuchung zeigt: Neue Ransomware-Gruppen als Schrittmacher der Cyber-Angriffe / Die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen 2023 ist laut WithSecure drastisch gestiegen

[datensicherheit.de, 09.08.2022] Lothar Geuenich, „Regional Director Central Europe/DACH“ bei der Check Point Software Technologies GmbH, kommentiert in seiner aktuellen Stellungnahme die bedrohlichen Auswirkungen des russisch-ukrainischen Cyber-Krieges auf die „(Un-)Sicherheitslage im Cyberspace“. Ein weiteres Jahr in Folge ist demnach nun weiter mit einer starken Zunahme der Cyber-Angriffe zu rechnen. Geuenich erläutert diese Einschätzung: „Unser ,Check Point Cyber Attack Trends: 2022 Mid-Year Report‘ dokumentiert bereits in der ersten Jahreshälfte einen Anstieg der wöchentlich verübten Attacken um satte 42 Prozent.“

Foto: CHECK POINT

Lothar Geuenich prognostiziert: Mit einem weiteren drastischen Anstieg der cyber-kriminellen Aktivitäten nach dem Ende des Konflikts sollte in jedem Fall gerechnet werden

Cyber-Angriffe auf staatliche Einrichtungen sowie öffentliche und private Infrastrukturen

Einen guten Anteil an dieser gefährlichen Entwicklung habe der seit nunmehr rund fünf Monaten tobende russisch-ukrainische Cyber-Krieg. Fester Bestandteil der Kriegsstrategien beider Konfliktparteien seien offensichtlich Cyber-Angriffe auf staatliche Einrichtungen sowie auf öffentliche und private Infrastrukturen des jeweiligen Gegners und seiner Verbündeten.

„Solange der Konflikte andauert, darin sind sich alle Beobachter einig, kann mit einer Besserung der Cyber-Sicherheitslage nicht gerechnet werden“, warnt Geuenich. Was im Rahmen der Überlegungen zum russisch-ukrainischen Cyber-Krieg jedoch häufig übersehen werde: „Das Ende des Konflikts – ob nun schon in wenigen Monaten oder erst in einigen Jahren – wird mit hoher Wahrscheinlichkeit nicht zu einer allgemeinen Entspannung der Sicherheitslage führen.“ Denn der Cyber-Krieg sei nicht allein nur ein Unsicherheitsfaktor, er sei vielmehr noch ein „Unsicherheitskatalysator“, dessen zerstörerische Wirkung wohl erst mit einigen Jahren Verzögerung voll zum Tragen kommen werde.

Als Grund für seine pessimistische Prognose führt Geuenich an, dass neben rein staatlichen Akteuren eine größere Zahl freiwilliger, privater Akteure in den Cyber-Kampf eingebunden worden ist: Sogenannte Hacktivisten und gutartige White-Hat-Hacker arbeiteten mit Cyber-Kriminellen und bösartigen Black-Hat-Hackern zusammen. Sogar Technologie-Unternehmen mischten in dieser illustren Runde mit. Einige von ihnen operierten im Auftrag eines der beiden Kontrahenten, andere auf eigene Faust, aber in deren Namen – „einige frei und unabhängig voneinander, andere zentral gesteuert als feste Gruppe“.

Hacktivisten und gutartige White-Hat-Hacker arbeiteten mit Cyber-Kriminellen und bösartigen Black-Hat-Hackern zusammen

Sie alle brächten hierzu unterschiedliche Toolsets, Vorgehensweisen und Ziele in den Konflikt mit ein – abhängig von ihrem Wissensstand, Erfahrungsschatz und Ausrüstungspool. Einige begnügten sich mit einfachen DDoS-Angriffen, um Websites staatlicher Institutionen lahmzulegen. Andere führten indes hochkomplexe und von langer Hand geplante Angriffe auf Kritische Infrastrukturen durch, um ein Strom- oder Kommunikationsnetz zu unterbrechen.

Geuenich führt hierzu aus: „Dabei optimieren sie ihre Fähigkeiten und Toolsets – als Einzelperson wie als Gruppe – kontinuierlich. Sie lernen voneinander, lernen zusammenzuarbeiten. Auch und gerade mit denjenigen, die in Friedenszeiten cyber-kriminellen Aktivitäten nachzugehen suchen. Und dies sind – erstmals in einem solchen Konflikt – nicht wenige.“ Der hohe Anteil an Cyber-Kriminellen und Black-Hat-Hackern, welche sich aktiv im russisch-ukrainischen Cyber-Krieg engagierten, stelle ein Novum dar – und berge in Punkto IT-Sicherheit ein erhebliches Bedrohungspotenzial. „Denn wenn der Krieg einmal vorüber ist, wird eine erhebliche Anzahl ehemaliger ‚Cyber-Krieger‘ – ausgestattet mit einem noch nie dagewesenen Grad der Vernetzung – über mehr Wissen, mehr Erfahrung und mehr Tools verfügen als jemals zuvor.“

Die kriminellen, derzeit noch in den russisch-ukrainischen Cyber-Krieg eingebundenen Kräfte würden sich dann wieder „lohnendere Ziele“ suchen – und viele ideologische, bislang nicht zum Kreis der Cyber-Kriminellen zählenden „Krieger“ würden dann rasch erkennen, „dass ihre frisch erlangte Schlagkraft nur zu halten sein wird, wenn sie für Einnahmen in einer ausreichenden Größenordnung sorgen“. Geuenichs Fazit: „Mit einer signifikanten Verschärfung der Unsicherheitslage, mit einem weiteren drastischen Anstieg der cyber-kriminellen Aktivitäten nach dem Ende des Konflikts, sollte deshalb in jedem Fall gerechnet werden.“

Weitere Informationen zum Thema:

CHECK POINT
Cyber Attacks Now State-Level Weapon, Disrupting Everyday Lives, with Ransomware the Number One Threat, says Check Point Software’s 2022 Cyber Attacks Trends: Mid-Year Report

[datensicherheit.de, 16.02.2020] Sicherheitsforscher von SentinelLabs haben Aktivitäten der nach Unternehmensangaben „pro-russischen“ Hacker-Gruppierung Gamaredon untersucht, die ihre Angriffe auf ukrainische Behörden ausrichten. In den letzten Monaten hat die seit 2013 aktive Gruppe neue offensive Hacker-Komponenten genutzt, um ihre Angriffe zu forcieren. Interessant sei vor allem der Umfang der Operationen, die Anzahl der Opfer sowie die Anpassungsfähigkeit der Tools. Überraschend sind die Beständigkeit, mit der die Tools eingesetzt werden, und die Genauigkeit, mit der sie auf ein bestimmtes Ziel zugeschnitten sind. Die Gruppe setzt auch verstärkt auf Social Engineering-Methoden, um an Informationen zu gelangen.

82 Cyberangriffe auf Kritische Infrastrukturen im Jahr 2019

Am 25. Januar 2020 erklärte der ukrainische Sicherheitsdienst, er habe 2019 482 Cyberangriffe auf kritische Infrastrukturen verhindert und die Einreise von 278 Personen verboten, die an der „Propaganda des Separatismus“ beteiligt waren. Gamaredon richtet sich ausschließlich gegen die ukrainischen nationalen Sicherheitseinrichtungen, was sie zu einem Hauptbeteiligten an den anhaltenden politischen und militärischen Spannungen in der Region macht.

Die Aktivitäten von Gamaredon sind für das russische Militär vor allem ein Versuchsfeld, um das Potenzial der Cyberkriegsführung in einem modernen Gewaltkonflikt oder einer landesweiten politischen Auseinandersetzung zu beobachten. Laut SentinelLabs‘ Einblick in die Telemetrie der Opfer von Advanced Persistent Threats (APT) von Gamaredon, fielen der Gruppe mehr als fünftausend ukrainische Einheiten zum Opfer. Die Karte der Gamaredon-Infektionen zeigt Angriffe in der gesamten Ukraine, insbesondere aber eine Konzentration der Angriffe entlang der Grenze, an der ukrainische Truppen stationiert sind.

Internet als fünfte Domäne der Kriegsführung

Was die Sicherheits- und Militäraspekte von Cyberangriffen betrifft, so ist Gamaredon ein anschauliches Beispiel dafür, wie das Internet als fünfte Domäne der Kriegsführung Angreifern die Möglichkeit gibt, ihren Kampf fortzusetzen, obwohl alle anderen Domänen aufgrund strategischer oder politischer Rahmenbedingungen verwehrt bleiben. Aus militärischer Sicht bietet Gamaredon eine ausgewogene Kosteneffizienz, da Versuche, auf dem Schlachtfeld vorzurücken, nicht sofort zu Eskalation und Vergeltung führen. Es ist eine raffinierte Möglichkeit, aus dem traditionellen Nullsummenspiel militärischer Operationen auszusteigen, indem man einen Offensivvorteil erzielt, ohne seine politische Haltung in einem Friedensprozess aufzugeben. In Anbetracht der Tatsache, dass moderne Konflikte dazu neigen, ähnlich wie im Donbass „einzufrieren“, werden Gruppen wie Gamaredon vermutlich zum festen Bestandteil aktueller Auseinandersetzungen werden.

[datensicherheit.de, 07.07.2017] Die Bedrohungslage durch den Cyber-Angriff, der unter dem Namen Petya (auch: NotPetya, ExPetr, DiskCoder.C) bekannt wurde, Ende Juni aktuellen Erkenntnissen zur Folge auch für deutsche Unternehmen größer als bislang angenommen.

Analysen von IT-Sicherheitsforschern legen dabei nahe, dass bereits seit April 2017 in mehreren Wellen unterschiedliche Schadsoftwarevarianten über die Update-Funktion der in der Ukraine weit verbreiteten Buchhaltungssoftware M.E.Doc verteilt wurden. Damit können auch Unternehmen von diesem Cyber-Angriff betroffen sein, die M.E.Doc einsetzen, aber augenscheinlich nicht vom öffentlich bekanntgewordenen Verschlüsselungstrojaner Petya betroffen waren. Auch Datensicherungen (Backups), die nach dem 13.04.2017 angelegt wurden, müssen als potentiell kompromittiert betrachtet werden.
Die unterschiedlichen Schadsoftwarevarianten ermöglichen das Ausspähen von Daten aus den betroffenen Firmennetzwerken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet diese Analysen als plausibel.

Schadenspotential mindestens so hoch wie bei WannaCry

Dazu erklärt BSI-Präsident Arne Schönbohm: „Wir beobachten hier, ähnlich wie im Fall WannaCry, dass die Täter über die gleichen Verbreitungswege weitere Schadsoftware verteilt haben, die sich im Gegensatz zu Verschlüsselungstrojanern nicht sofort bemerkbar machen. Ihr Schadenspotential ist dabei allerdings mindestens ebenso hoch. Unternehmen sind daher aufgefordert, Cyber-Sicherheit auch ohne akuten Anlass als Voraussetzung einer erfolgreichen Digitalisierung zu begreifen und IT-Sicherheitsmaßnahmen konsequent umzusetzen.“

Dem Behörde liegen zudem Informationen vor, die deutlich machen, dass die von der Schadsoftware betroffenen Firmen/Organisationen erhebliche Anstrengungen unternehmen müssen, um zum Teil kritische Geschäftsprozesse wiederherstellen zu können.

Schönbohm: „In einigen Unternehmen in Deutschland stehen seit über eine Woche die Produktion oder andere kritische Geschäftsprozesse still. Hier entstehen Schäden in Millionenhöhe und das bei einem IT-Sicherheitsvorfall, bei dem Deutschland im Grunde mit einem blauen Auge davon gekommen ist. Wir müssen die Resilienz gegen Cyber-Angriffe in Deutschland weiter konsequent erhöhen und Informationssicherheit mit höchster Priorität behandeln.“

Vom BSI werden dringend folgende Schutzmaßnahmen empfohlen:

• Auf M.E.Doc Software angewiesene Unternehmen sollten Computersysteme, auf denen diese Software installiert ist, in separierten Netzbereichen kapseln, verstärkt überwachen und sowohl diese als auch von dort erreichbare Systeme auf zusätzliche, möglicherweise bereits stattgefundene Kompromittierungen untersuchen
• Auf infizierten Rechnern sollten alle Passwörter geändert werden
• Infizierte Rechner sollten idealerweise neu aufgesetzt werden
• Umsetzung einer Netzwerksegmentierung
• Erstellen und Vorhalten von Daten-Sicherungen (Backups)
• Überprüfung der Administratorenrechte:
  • Lokale Administratoren sollten sich nicht über das interne Netz einloggen können
  • Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche Passwort haben
  • Idealerweise sollte der lokale Administrator deaktiviert sein-
• Einspielen aktueller Patches für Software und Betriebssysteme, insbesondere des Microsoft-Patches
  MS17-010
• Aktualisierung der eingesetzten Antiviren-Programme

Das BSI empfiehlt zudem, im Zweifel externe IT-Fachkräfte zur Analyse und Bereinigung der Infektionen hinzuzuziehen.

Betroffene Unternehmen können sich unter meldestelle@bsi.bund.de an das BSI wenden.

Weitere Informationen zum Thema:

datensicherheit.de, 29.06.2017
Sogenannte Petya-Attacke: Vermutung zu möglichen Beweggründen und Zielen

[datensicherheit.de, 17.08.2009] Die Arbeiterkammer Niederösterreich warnt vor dubiosen E-Mails, die zur Zeit in Österreich und Deutschland kursieren sollen:
Darin stelle sich ein „Zusammenschluss von Investoren in Zusammenarbeit mit Banken“ bzw. eine „Interessenvertretung russischer und ukrainischer Unternehmer“ vor und suggeriere eine schnelle, unbürokratische Vermittlung von Krediten – weitgehend ohne Sicherheiten, praktisch in jeder Höhe und ohne Überprüfungen.
Wer auf eine solche E-Mail reagiert, erhalte ziemlich schnell eine Zahlungsaufforderung über 45 Euro – angeblich eine „Gebühr“ für die Übersetzung des Kreditantrags, die an eine Bank in Spanien zu überwiesen sei.

Weitere Informationen zum Thema:

NÖ Arbeiterkammer, 17.08.2009
Wunschkredit aus Russland