Ermittlungserfolg gegen Ransomware-Gruppierung
Medienmitteilung 16.09.2022
Im Rahmen einer international koordinierten Aktion gegen eine Ransomware-Gruppierung führt die Zürcher Staatsanwaltschaft ein Strafverfahren gegen eine beschuldigte Person. Gleichzeitig werteten Cyberermittlerinnen und -ermittler der Kantonspolizei Zürich in den letzten Monaten intensiv die bei dieser Person sichergestellten Datenträger aus. Diese Auswertung brachte zahlreiche Private Keys zum Vorschein. Mit diesen haben geschädigte Unternehmen die Möglichkeit, ihre verschlüsselten Daten wiederherzustellen.
Unter dem Cyber-Kriminalitätsphänomen «Ransomware» versteht man die Verschlüsselung von Daten auf IT-Netzwerken. Für die Wiederherstellung der Daten wird anschliessend von den Geschädigten ein Lösegeld verlangt. Weltweit ist seit mehreren Jahren eine Zunahme dieses Phänomens zu verzeichnen.
Im Rahmen einer international koordinierten Aktion gelang es Strafverfolgungsbehörden aus Frankreich, den Niederlanden, Norwegen, der Ukraine, den USA und der Schweiz mit Unterstützung von Europol und Eurojust, gegen eine weltweit tätige Gruppe von Cyberkriminellen vorzugehen, die mit den Schadprogrammen «LockerGoga» und «Megacortex» operierten.
Der Täterschaft wird vorgeworfen, an Ransomware-Attacken gegen über 1'800 Personen und Institutionen in 71 Ländern beteiligt gewesen zu sein und dabei einen geschätzten Schaden von insgesamt mehreren 100 Millionen Franken verursacht zu haben. In diesem Zusammenhang hat die Zürcher Staatsanwaltschaft von der Staatsanwaltschaft BaselLandschaft ein Strafverfahren gegen einen beschuldigten Mann übernommen. Dieser war Ende Oktober 2021 wegen des Verdachts auf Geldwäscherei und Datenbeschädigung von den basellandschaftlichen Strafverfolgungsbehörden in einer gemeinsamen Aktion und in Anwesenheit französischer Ermittler verhaftet worden. Der Beschuldigte befindet sich derzeit im Kanton Zürich in Untersuchungshaft. Für ihn gilt wie üblich bis zu einem rechtskräftigen Verfahrensabschluss die Unschuldsvermutung.
Parallel zum laufenden Strafverfahren der Staatsanwaltschaft haben die Cyberermittlerinnen und -ermittler der Kantonspolizei Zürich in den letzten Monaten intensiv die anlässlich einer Hausdurchsuchung im Kanton Basel-Landschaft sichergestellten Datenträger ausgewertet.
Wiederherstellung von Daten dank sichergestellten Private Keys
Diese Auswertung brachte zahlreiche Private Keys von Ransomware-Angriffen zum Vorschein. Diese Keys ermöglichen es geschädigten Unternehmen und Institutionen, die zuvor mit den Schadprogrammen «LockerGoga» oder «MegaCortex» verschlüsselten Daten wiederherzustellen. In Kooperation mit Europol, dem Projekt «No More Ransom» und der Firma Bitdefender wird ein Tool bereitgestellt, welches die Geschädigten bei der Entschlüsselung von LockerGoga unterstützt. Dieses ist unter der Website www.nomoreransom.org abrufbar. Das Tool zur Entschlüsselung von MegaCortex wird in Kürze veröffentlicht. Geschädigte, die von Angriffen mit den genannten Schadprogrammen betroffen sind, werden dringend aufgefordert, in ihrem jeweiligen Heimatland Strafanzeige zu erstatten, sofern sie dies nicht bereits getan haben.
Vor Ransomware-Angriffen kann man sich schützen. Nebst dem sicheren Umgang mit E-Mails, dem Blockieren des Empfangs von gefährlichen E-Mail Anhängen und dem Erstellen von regelmässigen Sicherungskopien sogenannten Backups wird dringend die Aktivierung von 2-Faktor-Authentifizierungen sowie das regelmässige Updaten aller IT-Systeme empfohlen.
Gemeinsame Medienmitteilung der Zürcher Staatsanwaltschaft und der Kantonspolizei Zürich
Media information of 16 September 2022
Verwenden Sie die Akkordeon-Bedienelemente, um die Sichtbarkeit der jeweiligen Panels (unterhalb der Bedienelemente) umzuschalten.
In the context of an internationally coordinated operation against a ransomware group, the Zurich Public Prosecutor’s Office is leading criminal proceedings against an accused person. At the same time, cyber investigators of the Zurich Cantonal Police have been intensively analysing the data storage devices seized from that person in the past months. This analysis has revealed numerous private keys. They enable the aggrieved companies to recover their encrypted data.
The cybercrime phenomenon «ransomware» means the encryption of data on IT networks. The aggrieved parties are subsequently requested to pay ransom money for recovering the data. For several years, there has been an increase in this phenomenon worldwide.
In the context of an internationally coordinated operation, law enforcement authorities from France, the Netherlands, Norway, Ukraine, USA and Switzerland succeeded with the help of Europol and Eurojust to take action against a worldwide active group of cybercriminals who were operating with the malware «LockerGoga» and «MegaCortex».
The perpetrators are accused of having participated in ransomware attacks against more than 1,800 persons and institutions in 71 countries and thereby causing a total estimated damage of several 100 million Swiss francs. In this regard, the Zurich Public Prosecutor's Office has taken over the criminal proceedings against an accused man from the Public Prosecutor’s Office Basel-Landschaft. This man had been arrested at the end of October 2021 on suspicion of money laundering and data corruption by the law enforcement authorities of Basel-Landschaft in a joint operation and in the presence of French investigators. The accused is currently in pretrial detention in the canton of Zurich. The presumption of innocence applies to him according to the usual practice until the legally binding conclusion of proceedings.
Parallel to the ongoing criminal proceedings of the Public Prosecutor’s Office, the cyber investigators of the Zurich Cantonal Police have been intensively analysing the data storage devices that were seized during the house search in the canton Basel-Landschaft.
Recovery of data thanks to seized private keys
This analysis revealed numerous private keys of ransomware attacks. These keys enable the aggrieved companies and institutions to recover the data that was previously encrypted with the malware «LockerGoga» or «MegaCortex». In cooperation with Europol, the project «No More Ransom» and the company Bitdefender, a tool is provided that helps the aggrieved parties regarding the decryption of LockerGoga. This tool can be downloaded on the website www.nomoreransom.org. The tool for the decryption of MegaCortex will be published soon. Aggrieved parties who are affected by the mentioned malware are urgently requested to file a criminal complaint in their correspondent home country if they have not done so already.
You can protect yourself from ransomware attacks. Apart from secure handling of emails, blocking of dangerous email attachments and creating regular backups, the activation of 2-factor authentications as well as the regular updating of all IT systems is recommended.
For further information, please visit https://www.ncsc.admin.ch/ncsc/de/home/cyberbedrohungen/ransomware.html
Joint press release of the Zurich Public Prosecutor’s Office («Zürcher Staatsanwaltschaft») and of the Zurich Cantonal Police («Kantonspolizei Zürich»)
Contact person for media, today Friday, 16 September 2022 from 9 to 12 a.m.:
Concerning the cyber investigations of the Zurich Cantonal Police and the crime phenomenon ransomware:
Florian Frei, media spokesman, tel. +41 58 648 11 11, info@kapo.zh.ch
Concerning the criminal proceedings at the Public Prosecutor’s Office:
Erich Wenzinger, media spokesman at the Public Prosecutor’s Office of the canton of Zurich, tel. +41 43 258 22 21, medien.staatsanwaltschaft@ji.zh.ch