Als «Double-Spider» sorgte die Hacker-Gruppe für Angst und Schrecken, nun soll sie Ermittlern aus Nordrhein-Westfalen ins Netz gegangen sein. Diese haben nach eigenen Angaben die mutmaßlichen Drahtzieher des internationalen Netzwerks von Cyber-Kriminellen identifiziert, die für spektakuläre Hackerangriffe weltweit verantwortlich sein sollen.
Gegen drei Verdächtige seien Haftbefehle erlassen worden, gegen acht weitere werde ermittelt, berichteten Ermittler von Landeskriminalamt und Staatsanwaltschaft am Montag in Düsseldorf. Europol und FBI seien in die Ermittlungen einbezogen gewesen.
Mehr als 600 Angriffe auf Institutionen weltweit
Den Verdächtigen werden unter anderem der Angriff auf das Uni-Klinikum Düsseldorf, die Funke-Mediengruppe und den Landkreis Anhalt-Bitterfeld angelastet, der deswegen den Katastrophenfall ausgerufen hatte.
Einer der Verdächtigen, ein 41-jähriger Russe, werde auch vom FBI gesucht, das fünf Millionen US-Dollar Belohnung auf ihn ausgesetzt habe. Der Gruppe werden mehr als 600 Angriffe auf Institutionen weltweit angelastet, bei denen erheblicher Schaden entstanden sei.
Die kriminelle Gruppierung namens «Double-Spider» oder «Grief» (Kummer) habe Bezüge nach Russland, es gebe aber keine Hinweise auf staatliche Akteure hinter den Machenschaften. Den Verdächtigen sei es um Lösegeld in Millionenhöhe gegangen.
«Wir sehen bei einzelnen Personen dieser Tätergruppe auch Bezüge und Verbindungen zum russischen Inlandsgeheimdienst FSB und der paramilitärischen Söldnertruppe Wagner», sagte dagegen NRW-Innenminister Herbert Reul (CDU). Auch wenn die Taten der persönlichen Bereicherung dienten, liege die Vermutung nahe, dass sie mindestens staatlich geduldet wurden. Zudem sei nicht auszuschließen, dass die abgeschöpften Daten und Gelder auch für staatliche Zwecke genutzt werden.
Die drei Verdächtigen Igor T., Irina Z. und Igor G. werden nun weltweit gesucht. Sie stünden jetzt auf der Europol-Fahndungliste «Europe’s most wanted». Wo sich das Trio aktuell aufhalte, sei unklar. «Die Angriffe auf die kritische Infrastruktur sind ein Spiel auf Leben und Tod», sagte ein Europol-Sprecher in Düsseldorf.
«Solche Cyber-Verbrecher machen auch vor Unikliniken nicht halt», sagte LKA-Chef Ingo Wünsch. «Die Firmen müssen ihre digitalen Tore sichern.» So bestand im Fall des Düsseldorfer Uni-Klinikums der Verdacht, die Hacker könnten für den Tod eines Patienten verantwortlich sein. Dies hatte sich letztlich aber nicht bestätigt.
Trotz des Krieges habe die Polizei in der Ukraine die Ermittlungen tatkräftig unterstützt, berichteten die Ermittler. In Deutschland habe die Gruppe mindestens 37 Institutionen angegriffen und geschädigt. Von einer Dunkelziffer sei auszugehen, weil es immer noch Unternehmen gebe, die Lösegeld zahlten, ohne die Polizei einzuschalten.
Es gab Headhunter für Hacker
2021 seien in Nordrhein-Westfalen die internationalen Ermittlungen gegen die Gruppe übernommen worden. Dabei sei eine Schattenökonomie ans Licht gekommen.
So gebe es Stellen-Ausschreibungen und Headhunter für Hacker. Sogenannte Access-Broker handelten mit unsicheren Stellen in Firmen-Netzwerken. Hacker-Angriffe würden auch als kriminelle Dienste an Dritte vermittelt. Das Ganze werde über Geldwäsche-Netzwerke mit Kryptowährungen abgewickelt.
Neben den drei genannten Verdächtigen werde noch gegen acht weitere im Alter von 38 bis 40 Jahren aus Deutschland, Russland, Moldawien und der Ukraine ermittelt. 13 EU-Länder seien betroffen. Gesucht werden sie wegen besonders schwerer Erpressung und Computer-Sabotage.
Es sei nun gelungen, konkreten Personen konkrete Taten nachzuweisen, sagte Oberstaatsanwalt Markus Hartmann. Dafür seien die digitalen Spuren so verdichtet worden, dass es für Haftbefehle gereicht habe. «Der Begriff Hacker-Angriff ist eigentlich eine Verharmlosung des Geschehens.» Man habe es mit strukturierter Organisierter Kriminalität zu tun.
Die internationale Fahndung werde es den Verdächtigen nun erschweren, ihr Geld etwa in Paris, London oder Mailand auszugeben. Die Verdächtigen hätten Software bekannter Hackergruppen wie der Evil Group oder Dridex weiterentwickelt und damit selbst Unternehmen angegriffen, berichtete LKA-Ermittler Dirk Kunze. «Double-Spider», wörtlich übersetzt Doppel-Spinne, ist der englische Begriff für die Kurbelgarnitur als Teil des Tretwerks am Fahrrad.
Eine der Vorläufergruppen soll für den Angriff auf das nationale britische Gesundheitssystem verantwortlich sein. Für den Fall habe die NRW-Ermittlungsgruppe «Parker» fast 100 Rechtshilfeersuchen gestellt, darunter auch an Russland. Sie hofft nun auf Hinweise zum Aufenthalt der Verdächtigen.