Kriminalität, Polizei

LKA-BW: Weiterer Erfolg im Kampf gegen organisierte Cyberkriminalität: Mutmaßlicher Kopf und Programmierer der Ransomware-Gruppen GandCrab und REvil identifiziert - weltweite Fahndung eingeleitet

30.03.2026 - 10:30:03 | presseportal.de

Stuttgart - Wie berichtet, ist es dem bei der Generalstaatsanwaltschaft Karlsruhe eingerichteten Cybercrime-Zentrum (CCZ) und dem Landeskriminalamt Baden-Württemberg (LKA) gelungen, den mutmaßlichen Kopf der Ransomware-Gruppierungen "GandCrab" und "REvil" (auch "Sodinokibi" genannt) sowie den mutmaßlichen Programmierer der von diesen Hackern genutzten Schadsoftwaren zu identifizieren und Haftbefehle gegen beide Beschuldigten zu erwirken. Die beiden Gesuchten stehen unter anderem im dringenden Verdacht, für den Angriff auf die Württembergischen Staatstheater Stuttgart im Jahr 2019 mitverantwortlich zu sein.

LKA-BW: Weiterer Erfolg im Kampf gegen organisierte Cyberkriminalität: Mutmaßlicher Kopf und Programmierer der Ransomware-Gruppen "GandCrab" und "REvil" identifiziert - weltweite Fahndung eingeleitet - Foto: presseportal.de

Die Ransomware-Gruppe "GandCrab" war in den Jahren 2018 und 2019 aktiv. Es besteht der Verdacht, dass mehrere Mitglieder der Organisation, darunter die beiden vom CCZ und LKA gesuchten Beschuldigten, noch im Jahr 2019 die Ransomware-Gruppe "REvil" gründeten und ihre Angriffe jedenfalls bis einschließlich Juli 2021 fortsetzten.

In den Haftbefehlen liegt den beiden Gesuchten zur Last, zwischen 2019 und 2021 an von diesen beiden Ransomware-Gruppierungen verübten Angriffen auf insgesamt 130 Unternehmen und Einrichtungen in Deutschland beteiligt gewesen zu sein. In 25 Fällen wurde das geforderte Lösegeld bezahlt. Der Gesamtlösegeldschaden beläuft sich auf rund 1,8 Millionen Euro. Die höchste Lösegeldsumme beträgt 658.000 Euro.

Diese Attacken führten in Deutschland zu wirtschaftlichen Schäden in Höhe von rund 35 Millionen Euro. Alleine einem Unternehmen aus Baden-Württemberg entstand ein Schaden in Höhe von rund 9 Millionen Euro. Der wirtschaftliche Schaden, der den geschädigten Unternehmen und Einrichtungen weltweit entstanden ist, wird auf mehrere hundert Millionen Euro beziffert.

Bei "GandCrab" und "REvil" handelte es sich um ein sogenanntes Ransomware-as-a-Service-Modell, bei dem die Beteiligten arbeitsteilig vorgingen, indem die Angreifer (sogenannte Affiliates) in die IT-Netzwerke der Geschädigten eindrangen, im Falle der Ransomware-Gruppe "REvil" auch sensible Daten exfiltrierten und anschließend die Computersysteme von Unternehmen und öffentlichen Einrichtungen mithilfe der durch die "GandCrab" bzw. "REvil"-Gruppierung zur Verfügung gestellten Software verschlüsselten. Die Gruppierungen gingen dabei höchst professionell vor und forderten für die Entschlüsselung und Nichtveröffentlichung der Daten hohe Lösegelder.

Der mutmaßliche Kopf der Gruppierung steht im Verdacht, die Produkte "GandCrab" und "REvil" beworben und Affiliates angeworben zu haben. Er soll zudem die Abwicklung der Lösegeldtransaktionen organisiert haben. Dem mutmaßlichen Programmierer wird zur Last gelegt, die von der Gruppierung genutzte Darknetseite zur Organisation und Verwaltung von Erpressungen sowie die Schadsoftware entwickelt und fortentwickelt zu haben.

Nach der akribischen Auswertung unzähliger Datensätze, so etwa von Kryptowährungstransaktionen, sowie dem damit einhergehenden ständigen Austausch und der Zusammenarbeit mit Partnerbehörden in Europa und Nordamerika konnten die beiden mutmaßlichen Hauptdrahtzieher der beiden Ransomware-Gruppierungen identifiziert und der Erlass von nationalen und europäischen Haftbefehlen erwirkt werden.

Bereits am 30.01.2026 war es dem bei der Generalstaatsanwaltschaft Karlsruhe eingerichteten Cybercrime-Zentrum Baden-Württemberg (CCZ) gelungen, die Verurteilung des mutmaßlichen Erpressers (Affiliate) der württembergischen Staatstheater und von weiteren 21 deutschen Unternehmen zu einer Gesamtfreiheitsstrafe von 7 Jahren durch das Landgericht Stuttgart zu erwirken.

Die weiteren nun geplanten Maßnahmen zur Festnahme der Beschuldigten werden international eng koordiniert.

Die öffentliche Fahndung nach den Beschuldigten wurde im Fahndungsportal des Bundeskriminalamtes (Shchukin: www.bka.de/oeffentlichkeitsfahndung75 / Kravchuk:www.bka.de/oeffentlichkeitsfahndung76) sowie des Landeskriminalamts Baden-Württemberg eingestellt (Shchukin: https://fahndung.polizei-bw.de/tracing/1062026 / Kravchuk: https://fahndung.polizei-bw.de/tracing/1102026).

Hinweise können an das E-Mail-Postfach stuttgart.lka.hinweise@polizei.bwl.de gerichtet werden.

Zudem wurden die beiden Beschuldigten auf die EU-Most-Wanted-Liste gesetzt (https://eumostwanted.eu/).

Ergänzend werden die Pressemitteilungen vom 10.10.2024 (https://generalstaatsanwaltschaft-karlsruhe.justiz-bw.de/pb/,Lde/Startseite/Presse/PM+vom+10-10-2024/?LISTPAGE=1222232) und vom 27.01.2025 (https://generalstaatsanwaltschaft-karlsruhe.justiz-bw.de/pb/,Lde/Startseite/Presse/Pressemitteilung+vom+27_01_2025/?LISTPAGE=1222232) in Bezug genommen.

Rückfragen bitte an:

Generalstaatsanwaltschaft Karlsruhe / Cybercrime-Zentrum
Baden-Württemberg
Pressestelle
Oberstaatsanwalt Mirko Heim
E-Mail: pressestelle@genstakarlsruhe.justiz.bwl.de
Telefon: 0721 926-9750

Landeskriminalamt Baden-Württemberg
Pressesprecher
Jürgen Glodek
E-Mail: pressestelle-lka@polizei.bwl.de
Telefon: 0711 5401-2044

Original-Content von: Landeskriminalamt Baden-Württemberg übermittelt durch news aktuell

http://ots.de/5f4e66

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
polizeimeldungen | 69028339 |

Weitere Meldungen

Saarland: Flüchtender Autofahrer stirbt nach Polizeischüssen. Nach dem Vorfall in der Osternacht in Saarbrücken sind viele Fragen offen. Eine Verfolgungsfahrt endet mit Polizeischüssen: Ein 22-Jähriger ist tot, ein 19-Jähriger und eine Polizistin sind verletzt. (Unterhaltung, 06.04.2026 - 14:08) weiterlesen...

Fan-Eklat in Dresden: Innenminister will «kein Pardon mehr». Die Geduld von Sachsens Innenminister ist am Ende. Die Ausschreitungen bei Dynamo-Hertha könnten Folgen für die gesamte Debatte um Fan-Verhalten und Stadionverbote haben. (Politik, 06.04.2026 - 10:38) weiterlesen...

22-Jähriger stirbt nach Polizeischüssen – viele Fragen offen. Viele Details des Einsatzes sind noch ungeklärt – die Ermittlungen laufen weiter. Nach einer Verfolgungsfahrt und Polizeischüssen in Saarbrücken stirbt ein junger Mann, ein anderer wird verletzt. (Politik, 06.04.2026 - 08:48) weiterlesen...

22-Jähriger stirbt nach Polizeischüssen bei Verfolgungsfahrt. Eine Polizistin wurde nach Behördenangaben bei einem Wendeversuch des verfolgten Wagens verletzt. Dann fallen Schüsse. In einer Sackgasse steht ein Kleinwagen mit einem Loch in der Frontscheibe. (Unterhaltung, 05.04.2026 - 12:58) weiterlesen...

Toter nach Polizeischüssen - Was wir wissen und was nicht. Polizisten hatten auf das Auto Schüsse abgefeuert. Was bisher bekannt ist – und welche Fragen bislang offenbleiben. Nach einer Verfolgungsfahrt in Saarbrücken stirbt ein 22-Jähriger. (Unterhaltung, 05.04.2026 - 10:33) weiterlesen...

Junger Mann stirbt nach Polizeischüssen bei Verfolgungsfahrt. Dabei soll eine Polizistin verletzt worden sein. Auf das flüchtende Fahrzeug feuert die Polizei Schüsse ab. Ein 22-Jähriger soll sich mit seinem Auto einer Polizeikontrolle entzogen haben. (Unterhaltung, 05.04.2026 - 09:13) weiterlesen...