Wie berichtet, ist es dem bei der Generalstaatsanwaltschaft Karlsruhe eingerichteten Cybercrime-Zentrum (CCZ) und dem Landeskriminalamt Baden-Württemberg (LKA) gelungen, den mutmaßlichen Kopf der Ransomware-Gruppierungen „GandCrab“ und „REvil“ (auch „Sodinokibi“ genannt) sowie den mutmaßlichen Programmierer der von diesen Hackern genutzten Schadsoftwaren zu identifizieren und Haftbefehle gegen beide Beschuldigten zu erwirken.
Die beiden Gesuchten stehen unter anderem im dringenden Verdacht, für den Angriff auf die Württembergischen Staatstheater Stuttgart im Jahr 2019 mitverantwortlich zu sein. Die Ransomware-Gruppe „GandCrab“ war in den Jahren 2018 und 2019 aktiv. Es besteht der Verdacht, dass mehrere Mitglieder der Organisation, darunter die beiden vom CCZ und LKA gesuchten Beschuldigten, noch im Jahr 2019 die Ransomware-Gruppe „REvil“ gründeten und ihre Angriffe jedenfalls bis einschließlich Juli 2021 fortsetzten. In den Haftbefehlen liegt den beiden Gesuchten zur Last, zwischen 2019 und 2021 an von diesen beiden Ransomware-Gruppierungen verübten Angriffen auf insgesamt 130 Unternehmen und Einrichtungen in Deutschland beteiligt gewesen zu sein. In 25 Fällen wurde das geforderte Lösegeld bezahlt. Der Gesamtlösegeldschaden beläuft sich auf rund 1,8 Millionen Euro. Die höchste Lösegeldsumme beträgt 658.000 Euro. Diese Attacken führten in Deutschland zu wirtschaftlichen Schäden in Höhe von rund 35 Millionen Euro. Alleine einem Unternehmen aus Baden-Württemberg entstand ein Schaden in Höhe von rund 9 Millionen Euro. Der wirtschaftliche Schaden, der den geschädigten Unternehmen und Einrichtungen weltweit entstanden ist, wird auf mehrere hundert Millionen Euro beziffert. Bei „GandCrab“ und „REvil“ handelte es sich um ein sogenanntes Ransomware-as-a-Service-Modell, bei dem die Beteiligten arbeitsteilig vorgingen, indem die Angreifer (sogenannte Affiliates) in die IT-Netzwerke der Geschädigten eindrangen, im Falle der Ransomware-Gruppe „REvil“ auch sensible Daten exfiltrierten und anschließend die Computersysteme von Unternehmen und öffentlichen Einrichtungen mithilfe der durch die „GandCrab“ bzw. „REvil“-Gruppierung zur Verfügung gestellten Software verschlüsselten. Die Gruppierungen gingen dabei höchst professionell vor und forderten für die Entschlüsselung und Nichtveröffentlichung der Daten hohe Lösegelder.
Der mutmaßliche Kopf der Gruppierung steht im Verdacht, die Produkte „GandCrab“ und „REvil“ beworben und Affiliates angeworben zu haben. Er soll zudem die Abwicklung der Lösegeldtransaktionen organisiert haben. Dem mutmaßlichen Programmierer wird zur Last gelegt, die von der Gruppierung genutzte Darknetseite zur Organisation und Verwaltung von Erpressungen sowie die Schadsoftware entwickelt und fortentwickelt zu haben. Nach der akribischen Auswertung unzähliger Datensätze, so etwa von Kryptowährungstransaktionen, sowie dem damit einhergehenden ständigen Austausch und der Zusammenarbeit mit Partnerbehörden in Europa und Nordamerika konnten die beiden mutmaßlichen Hauptdrahtzieher der beiden Ransomware-Gruppierungen identifiziert und der Erlass von nationalen und europäischen Haftbefehlen erwirkt werden.
Bereits am 30.01.2026 war es dem bei der Generalstaatsanwaltschaft Karlsruhe eingerichteten Cybercrime-Zentrum Baden-Württemberg (CCZ) gelungen, die Verurteilung des mutmaßlichen Erpressers (Affiliate) der württembergischen Staatstheater und von weiteren 21 deutschen Unternehmen zu einer Gesamtfreiheitsstrafe von 7 Jahren durch das Landgericht Stuttgart zu erwirken. Die weiteren nun geplanten Maßnahmen zur Festnahme der Beschuldigten werden international eng koordiniert. Die öffentliche Fahndung nach den Beschuldigten wurde im Fahndungsportal des Bundeskriminalamtes (Shchukin: www.bka.de/oeffentlichkeitsfahndung75 / Kravchuk: www.bka.de/oeffentlichkeitsfahndung76) sowie des Landeskriminalamts Baden-Württemberg eingestellt (Shchukin: https://fahndung.polizei-bw.de/tracing/1062026 / Kravchuk: https://fahndung.polizei-bw.de/tracing/1102026). Hinweise können an das E-Mail-Postfach stuttgart.lka.hinweise@polizei.bwl.de gerichtet werden. Zudem wurden die beiden Beschuldigten auf die EU-Most-Wanted-Liste gesetzt (https://eumostwanted.eu/).
PM Landeskriminalamt Baden-Württemberg