Die Generalstaatsanwaltschaft Frankfurt am Main, Zentralstelle zur Bekämpfung der Internetkriminalität, und das Bundeskriminalamt sind gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, der Schweiz, der Ukraine und dem Vereinigten Königreich gegen Akteure der Ransomware-Gruppierung Black Basta vorgegangen. In diesem Zusammenhang wurden die Wohnräume von zwei Beschuldigten in der Ukraine durchsucht und Beweismittel sichergestellt.

Parallel dazu fahnden ZIT und BKA öffentlich nach dem mutmaßlichen Kopf der Gruppierung. Gegen den Beschuldigten liegt ein Haftbefehl vor. Ihm wird vorgeworfen, Black Basta gegründet und geleitet zu haben. Zuvor soll er bereits als Geschäftspartner der Ransomware-Gruppierung Conti aktiv gewesen sein. Die Öffentlichkeitsfahndung erfolgt mit Unterstützung von Europol und Interpol.

Black Basta zählt zu den aktivsten Ransomware-Gruppierungen der vergangenen Jahre. Die Täter richteten ihre Angriffe überwiegend gegen Unternehmen in westlichen Industrienationen. Mithilfe der gleichnamigen Schadsoftware sowie weiterer Malware kompromittierten sie Netzwerke, stahlen sensible Daten, verschlüsselten Systeme und erpressten Lösegelder für deren Entschlüsselung.

Hoher Schaden für Unternehmen und Institutionen

Zwischen März 2022 und Februar 2025 war Black Basta nach Erkenntnissen der Ermittler für die Erpressung von mehr als 100 Unternehmen und Institutionen in Deutschland verantwortlich. Weltweit wurden rund 600 Organisationen geschädigt. Der durch die Taten erlangte Schaden liegt im dreistelligen Millionenbereich, davon mehr als 20 Millionen Euro allein im Bundesgebiet.

Zu den Opfern zählen vor allem Unternehmen, aber auch Krankenhäuser, öffentliche Einrichtungen und Behörden. Gegen die beschuldigten Akteure besteht unter anderem der Verdacht der Bildung einer kriminellen Vereinigung sowie der gewerbs- und bandenmäßigen Erpressung und Computersabotage.

Die Durchsuchungen in der Ukraine richteten sich gegen mutmaßliche Mitglieder der Gruppierung mit ukrainischer Staatsangehörigkeit. Ihnen wird sogenanntes Hash-Cracking vorgeworfen, also das systematische Ermitteln von Passwörtern aus erbeuteten Hash-Werten. Auf diese Weise verschaffen sich Angreifer weitreichenden Zugriff auf Netzwerke und sensible Daten ihrer Opfer.

Ermittlungen in enger internationaler Zusammenarbeit

Die Maßnahmen in den Verwaltungsregionen Iwano-Frankiwsk und Lwiw wurden von der ukrainischen Cyberpolizei, der Nationalpolizei der Ukraine sowie der ukrainischen Generalstaatsanwaltschaft umgesetzt. Dabei durchsuchten die Behörden die Wohnräume der Beschuldigten und sicherten umfangreiche Beweismittel.

Im Zuge der internationalen Ermittlungen identifizierten ZIT und BKA schließlich den mutmaßlichen Rädelsführer der Gruppierung. Die Behörden setzen nun auf die Öffentlichkeitsfahndung, um Hinweise zu seinem Aufenthaltsort zu erhalten und die strafrechtliche Verfolgung voranzubringen.