Stuttgart – Ein gemeinsamer Erfolg im Kampf gegen organisierte Cyberkriminalität gelang dem Cybercrime-Zentrum (CCZ) der Generalstaatsanwaltschaft Karlsruhe und dem Landeskriminalamt Baden-Württemberg (LKA). Die Ermittler konnten zwei mutmaßliche Haupttäter hinter den berüchtigten Ransomware-Gruppen „GandCrab“ und „REvil“ identifizieren. Gegen die Beschuldigten wurden Haftbefehle erlassen, die Fahndung auf nationaler und internationaler Ebene wurde eingeleitet.
Hintergrund zu den Ransomware-Gruppen
Die Ransomware-Gruppe „GandCrab“ war in den Jahren 2018 und 2019 aktiv und erlangte durch ihre Angriffe auf zahlreiche Unternehmen und Einrichtungen Bekanntheit. Im Anschluss gründeten mutmaßlich mehrere Mitglieder, darunter die nun gesuchten Hauptverdächtigen, die Gruppe „REvil“ (auch „Sodinokibi“ genannt), die ihre Aktivitäten bis mindestens Juli 2021 fortsetzte. Beide Gruppierungen operierten nach dem sogenannten Ransomware-as-a-Service-Modell. Dabei wurden IT-Netzwerke infiltriert, Daten verschlüsselt und in einigen Fällen sensible Informationen exfiltriert. Für die Entschlüsselung und Nichtveröffentlichung der Daten forderten die Täter hohe Lösegelder.
Ermittlungsergebnisse und Tatvorwürfe
Die beiden Beschuldigten stehen im dringenden Verdacht, zwischen 2019 und 2021 an Angriffen auf insgesamt 130 Unternehmen und öffentliche Einrichtungen in Deutschland beteiligt gewesen zu sein. In 25 Fällen wurde das geforderte Lösegeld gezahlt, wobei sich die Gesamtsumme auf etwa 1,8 Millionen Euro beläuft. Die wirtschaftlichen Schäden, die durch diese Angriffe entstanden sind, werden in Deutschland auf rund 35 Millionen Euro geschätzt. Ein einzelnes Unternehmen aus Baden-Württemberg erlitt dabei einen Schaden von rund 9 Millionen Euro.
Dem mutmaßlichen Kopf der Gruppierung wird vorgeworfen, die Ransomware-Produkte „GandCrab“ und „REvil“ beworben, Affiliates angeworben und die Abwicklung der Lösegeldtransaktionen organisiert zu haben. Der zweite Beschuldigte soll als Programmierer die Schadsoftware entwickelt und weiterentwickelt sowie die Darknetplattform zur Verwaltung der Erpressungen betrieben haben.
Internationale Zusammenarbeit und Fahndung
Die Ermittlungen basieren auf einer umfangreichen Auswertung von Datensätzen, unter anderem von Kryptowährungstransaktionen. Die Zusammenarbeit mit Partnerbehörden in Europa und Nordamerika war dabei ein zentraler Baustein. Nach der Identifizierung der Beschuldigten wurden nationale und europäische Haftbefehle erwirkt. Die Festnahme der Tatverdächtigen wird international koordiniert.
Die beiden Beschuldigten sind auf der EU-Most-Wanted-Liste aufgeführt. Zudem wurden öffentliche Fahndungen über das Bundeskriminalamt und das Landeskriminalamt Baden-Württemberg eingestellt. Hinweise aus der Bevölkerung können per E-Mail an das LKA Stuttgart gerichtet werden.
Vorangegangene Verurteilungen
Bereits im Januar 2026 konnte das Cybercrime-Zentrum Baden-Württemberg einen mutmaßlichen Affiliate der Ransomware-Gruppen verurteilen lassen. Der Täter wurde wegen Erpressung bei den Württembergischen Staatstheatern Stuttgart sowie bei weiteren 21 deutschen Unternehmen zu einer Freiheitsstrafe von sieben Jahren verurteilt.
Bedeutung der Ermittlungen
Die Identifizierung und Verfolgung der Haupttäter stellt einen wichtigen Schritt im Kampf gegen organisierte Cyberkriminalität dar. Ransomware-Angriffe verursachen nicht nur erhebliche wirtschaftliche Schäden, sondern gefährden auch die IT-Sicherheit und den Betrieb zahlreicher Unternehmen und öffentlicher Einrichtungen. Die Behörden betonen die Bedeutung der internationalen Kooperation, um Täter konsequent zu verfolgen und die Sicherheit im digitalen Raum zu erhöhen.