REvil-Hacker identifiziert: Ermittler fahnden weltweit nach den mutmaßlichen Drahtziehern hinter GandCrab und REvil.
Das Cybercrime-Zentrum Baden-Württemberg und das LKA Baden-Württemberg haben nach eigenen Angaben REvil-Hacker identifiziert. Damit bekommen die zentralen Schattenfiguren hinter den berüchtigten Ransomware-Gruppen GandCrab und REvil Namen und Gesichter. REvil gilt als Nachfolgegruppierung von GandCrab und soll aus Teilen derselben Täterstruktur hervorgegangen sein. Gegen die mutmaßlichen Hintermänner liegen Haftbefehle vor, die internationale Fahndung läuft bereits auf Hochtouren.
REvil-Hacker identifiziert – Ermittler nennen konkrete Namen
Die Behörden sprechen von einem bedeutenden Schlag gegen die organisierte Cyberkriminalität. Konkret geht es um zwei Männer, die als Schlüsselfiguren der Ransomware-Gruppen GandCrab und REvil gelten sollen. Daniil Maksimovich Shchukin, mutmaßlicher Kopf der Operation, und Anatoly Sergeevitsch Kravchuk, der als Entwickler und technischer Architekt hinter der Infrastruktur stehen soll.
Damit haben die Ermittler zwei mutmaßliche REvil-Drahtzieher konkret identifiziert und öffentlich benannt, ein Schritt, der in der Vergangenheit häufig an komplexen Beweislagen und internationalen Zuständigkeitsfragen ausgebremst wurde.
Den beiden Beschuldigten wird laut Pressemitteilung des Landeskriminalamts Baden-Württemberg vorgeworfen, zwischen 2019 und 2021 an mindestens 130 Angriffen auf Unternehmen und Einrichtungen in Deutschland beteiligt gewesen zu sein. In 25 Fällen zahlten Opfer Lösegeld, das sich insgesamt auf rund 1,8 Millionen Euro belaufen soll. Die höchste bekannte Einzelforderung lag bei 658.000 Euro. Der wirtschaftliche Gesamtschaden wird auf etwa 35 Millionen Euro beziffert, weltweit sogar auf mehrere hundert Millionen Euro.
Vom Untergrund zum Geschäftsmodell: REvil perfektionierte Ransomware-as-a-Service
Die nun identifizierten REvil-Hintermänner sollen Teil eines hochprofessionellen Systems gewesen sein. Statt jeden Angriff selbst durchzuführen, setzten GandCrab und später REvil auf ein arbeitsteiliges Ransomware-as-a-Service-Modell. Sicherheitsanalysen von McAfee zeigen zudem, dass REvil nicht nur zeitlich, sondern auch technisch eng mit GandCrab verwandt ist. Demnach weisen sowohl Teile des Codes als auch die Struktur des Geschäftsmodells Parallelen auf. Laut den Analysen spielen einzelne Affiliates eine zentrale Rolle für den Erfolg der Kampagne und trugen maßgeblich zur Verbreitung der Schadsoftware bei.
Die mutmaßlichen Betreiber entwickelten die Schadsoftware, stellten die Infrastruktur bereit und organisierten die Zahlungsabwicklung. Die eigentlichen Angriffe übernahmen sogenannte Affiliates. Dabei forderten die Täter Lösegeld meist in Kryptowährungen wie Bitcoin und drohten zusätzlich mit der Veröffentlichung sensibler Daten im Darknet. Das Vorgehen war ebenso simpel wie effektiv, denn die Angreifer drangen in Systeme ein, verschlüsselten Daten und kassierten anschließend Lösegeld.
Bei REvil kam eine zweite Ebene hinzu, da die Täter zusätzlich damit drohten, gestohlene Daten im Falle einer Nichtzahlung zu veröffentlichen. Mit dieser Form der doppelten Erpressung galt die Ransomware-Gruppe REvil als einer der gefährlichsten Player im Cybercrime-Ökosystem.
Den Ermittlern zufolge soll Shchukin die Operation gesteuert, Partner angeworben und Lösegeldzahlungen organisiert haben. Kravchuk hingegen wird vorgeworfen, die technische Plattform im Darknet sowie die Malware selbst entwickelt und kontinuierlich weiterentwickelt zu haben.
Die Gruppe verschwand im Sommer 2021 jedoch abrupt von der Bildfläche. Als Gründe gelten unter anderem zunehmender internationaler Fahndungsdruck sowie Maßnahmen russischer Behörden, die Anfang 2022 gegen Teile der Szene vorgingen. Beobachter gehen zudem davon aus, dass einzelne Akteure ihre Aktivitäten unter anderem Namen fortgesetzt haben könnten.
Auch deutsche Ziele im Visier: Angriff auf Staatstheater Stuttgart
Dass die REvil-Hacker identifiziert wurden, ist auch für Deutschland relevant. Unter den Angriffszielen befanden sich nicht nur Unternehmen, sondern auch öffentliche Einrichtungen. So sollen die mutmaßlichen Cybererpresser unter anderem für den Angriff auf die Württembergischen Staatstheater Stuttgart im Jahr 2019 verantwortlich sein. Damals wurden IT-Systeme lahmgelegt, um Lösegeld zu erpressen. Der Schaden lag Berichten zufolge im Millionenbereich.
Bereits Anfang 2026 wurde in diesem Zusammenhang ein mutmaßlicher Affiliate der Gruppen GandCrab und REvil zu sieben Jahren Haft verurteilt. Neben dem Württembergischen Staatstheater Stuttgart soll er zudem die Netzwerke von 22 deutschen Unternehmen und Einrichtungen lahmgelegt haben, bei denen laut einem Bericht der ZEIT sogar Lösegeld geflossen ist. Die mutmaßlichen Köpfe der Struktur rücken allerdings erst jetzt selbst in den Fokus der Ermittler.
Internationale Fahndung nach REvil-Drahtziehern läuft
Die beiden identifizierten REvil-Hacker stehen aktuell auf mehreren Fahndungslisten, darunter beim Bundeskriminalamt, auf Landesebene sowie auf der EU-Most-Wanted-Liste. Nach bisherigen Erkenntnissen halten sich die Beschuldigten mutmaßlich in Russland auf. Eine Festnahme ist daher erschwert. Internationale Haftbefehle sind zwar ein wichtiger Schritt, garantieren aber noch keinen Zugriff. Dennoch erhöht die öffentliche Fahndung den Druck massiv. Reisen werden riskanter, finanzielle Transaktionen schwieriger, die digitale Anonymität brüchiger.
Dass die Ermittler den Tätern überhaupt so nah gekommen sind, liegt laut Behörden an der Auswertung großer Datenmengen, insbesondere von Kryptowährungstransaktionen, sowie an enger Zusammenarbeit mit internationalen Partnern.
Ransomware-Szene unter Druck: Ermittler rücken den Hintermännern näher
Dass REvil-Hacker identifiziert wurden, signalisiert, dass auch komplexe, global agierende Cybercrime-Strukturen nicht unangreifbar sind. Zwar sind die mutmaßlichen Hintermänner weiterhin auf freiem Fuß. Ihre Enttarnung zeigt jedoch, dass selbst vermeintlich gut abgeschirmte Akteure im Ransomware-Ökosystem Spuren hinterlassen und dass Strafverfolger diese Spuren zunehmend effektiv zusammenführen können.
