{ "id": "f79663b7-95b0-47fe-a71b-5542b592c56b", "created_at": "2026-04-06T00:08:53.184599Z", "updated_at": "2026-04-10T03:34:16.752104Z", "deleted_at": null, "sha1_hash": "cde43eaf8ea4c9b58646b372bb7db0a3e1d3edba", "title": "Schlag gegen international agierendes Netzwerk von Cyber-Kriminellen", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 39761, "plain_text": "Schlag gegen international agierendes Netzwerk von Cyber-Kriminellen\r\nBy Landeskriminalamt NRW\r\nPublished: 2023-03-06 · Archived: 2026-04-05 13:27:05 UTC\r\nIn Zusammenarbeit mit Europol, dem Federal Bureau of Investigation (FBI), der niederländischen und der\r\nukrainischen Polizei, ist den Spezialisten der Polizei NRW unter Führung des Landeskriminalamtes Nordrhein-Westfalen (LKA NRW) ein Schlag gegen ein international agierendes Netzwerk von Internetkriminellen gelungen.\r\nUnter Leitung der Zentral- und Ansprechstelle Cybercrime (ZAC NRW) durchsuchten die Ermittler letzten\r\nDienstag zeitgleich mehrere Objekte in Deutschland und der Ukraine.\r\nSeit Juni 2020 sind die Cybercrime-Spezialisten des LKA NRW den international agierenden Cyber-Kriminellen\r\nauf der Spur. Die eigens eingerichtete Ermittlungskommission (EK) \"Parker\" konnte nun die Drahtzieher sowie\r\nweitere Mitglieder der Ransomware-Gruppierung \"DoppelSpider\"/\"DoppelPaymer\" identifizieren und im Rahmen\r\neiner gezielten Aktion zeitgleich Durchsuchungsbeschlüsse in Deutschland und der Ukraine vollstrecken.\r\nDie kriminelle Gruppe, die sich auch \"Indrik Spider\" oder \"Doppel Spider\" nennt, ist in Deutschland unter\r\nanderem für die Erpressung der Universitätsklinik Düsseldorf, die Cyberattacken gegen die Funke Mediengruppe\r\nund weiterer namhafter Unternehmen im Jahr 2020 verantwortlich.\r\nDurch die Ermittlungskommission \"Parker\" des LKA NRW zusammen mit der ZAC NRW werden zentral die\r\nErmittlungen für alle bundesweiten Fälle geführt sowie die Ermittlungen gegen die Gruppierung zusammen mit\r\nEuropol weltweit koordinierend geleitet.\r\nDie Vorwürfe lauten insbesondere auf gewerbsmäßige, digitale Erpressung und Computersabotage. Mit einer\r\nSchadsoftware, sogenannter Ransomware (BitPaymer, DoppelPaymer, PayOrGrief, Entropy) verschafften sich die\r\nTäter digitalen Zugang zu den Rechnern der betroffenen Unternehmen, griffen Daten ab und drohten anschließend\r\nmit der missbräuchlichen Nutzung, verbunden mit Geldforderungen. So wurden weltweit von über 600\r\nGeschädigten teils bis zu zweistellige Millionenbeträge erpresst. Der erste bekannt gewordene Angriff dieser Art\r\nrichtete sich im Mai 2017 gegen das Gesundheitswesen des Vereinigten Königreiches (UK). Es folgten weltweit\r\nweitere Cyberattacken auf die digitale Infrastruktur verschiedenster Firmen und Institutionen.\r\nBei einer Aktion am Dienstag, 28.02.2023, durchsuchte die EK \"Parker\" mehrere Objekte in NRW, während\r\nzeitgleich Ermittler in der Ukraine gegen identifizierte Angehörige des Netzwerkes vorgingen. Darüber hinaus\r\nerließ die ZAC NRW Haftbefehle gegen mutmaßliche Drahtzieher der kriminellen Gruppierung mit Bezügen nach\r\nRussland. Mit Haftbefehlen suchen die Strafverfolgungsbehörden nun weltweit nach zunächst drei Verdächtigen.\r\nlgor Olegovich Turashev steht im Verdacht, eine wesentliche Rolle, bei Cyberattacken auf deutsche Unternehmen\r\ngespielt zu haben. Der Gesuchte fungierte als Administrator der für die Angriffe genutzten IT-Infrastruktur und\r\nMalware.\r\nhttps://lka.polizei.nrw/presse/schlag-gegen-international-agierendes-netzwerk-von-cyber-kriminellen\r\nPage 1 of 3\n\nIrina Zemlianikina zeichnet nach derzeitigen Ermittlungen ebenfalls mitverantwortlich für mehreren\r\nCyberattacken auf deutsche Unternehmen. Sie administrierte insbesondere die genutzten Chat- und Leakingseiten,\r\ndie für die Kommunikation der Täter mit ihren Opfern und zur Veröffentlichung gestohlener Daten dienten. Sie\r\nversendete auch E-Mails mit Malware im Anhang, um so Systeme mit Verschlüsselungssoftware zu infizieren.\r\nIgor Garshin (alternativ: Garschin) steht im Verdacht, durch Ausspähen, Infiltrieren sowie die finale\r\nVerschlüsselung von Daten, einer der Hauptverantwortlichen für die Cyber-Angriffe nicht zuletzt auch auf\r\ndeutsche Unternehmen zu sein.\r\n\"Das Verfahren zeigt, dass Cybercrime internationale Kriminalität ist - und zwar auf Seiten der Täter wie der\r\nOpfer. Täter greifen weltweit Infrastrukturen an, um Lösegelder für Daten zu erpressen.\" bewertet Markus\r\nHartmann, Leiter der ZAC NRW, den aktuellen Ermittlungsstand. \"Der jetzige Ermittlungserfolg zeigt aber auch,\r\ndass wir als Strafverfolger international handlungsfähig sind.\"\r\nAn den Ermittlungen und den operativen Maßnahmen sind neben Europol und dem FBI auch die High-Tech\r\nCrime Unit der niederländischen Polizei und die Polizei in der Ukraine entscheidend beteiligt. Die\r\nErmittlungskommission \"Parker\", angesiedelt bei der Abteilung \"Cybercrime\" des LKA NRW führt ihre\r\nErmittlungen in guter Zusammenarbeit mit Sicherheitsbehörden weltweit fort im Kampf gegen\r\nInternetkriminalität.\r\nLeiter des Dezernats 42 der Abteilung für \"Cybercrime\"-Ermittlungen, Kriminaldirektor Dirk Kunze konstatiert:\r\n\"Das Internet ist kein rechtsfreier Raum. Die Polizei NRW und das LKA NRW stellen sich - weltweit vernetzt -\r\nwirkungsvoll dem internationalen Kampf gegen diese Verbrechen.\" Die Polizei NRW habe dabei aber\r\ninsbesondere bei der Wirtschaft immer noch mit Befürchtungen und Vorurteilen zu kämpfen, stellt Kunze fest.\r\n\"Wir helfen den Unternehmen im Rahmen unserer Aufgaben und der Gefahrenabwehr bei der Bewältigung der\r\nAngriffe und unterstützen dabei, die Ausbreitung der Schäden zu verringern. Eine nicht angezeigte Straftat schützt\r\njedoch die Täter und hat in der Wahrnehmung nicht stattgefunden.\"\r\nDer Direktor des LKA Ingo Wünsch begleitete die operativen Maßnahmen seiner EK \"Parker\" in der vergangenen\r\nWoche eng. Neben der großen Anerkennung für die in seinem Haus geleistete Ermittlungsarbeit und die\r\nZusammenarbeit mit Sicherheitsbehörden weltweit stellt er fest: \"Täter können sich sicher sein, dass die\r\nBekämpfung dieser Kriminalität nicht an den Grenzen aufhört, sondern grenzüberschreitend - eben - international\r\nerfolgt.\" Aber auch Ermittlungserfolge ändern nichts an der immer noch anhaltenden Gefahr durch Cyberangriffe.\r\nWünsch: \"Firmen, Institutionen und Behörden müssen ihre digitale Welt schützen, das bedeutet nicht nur faktisch\r\nbegreif- und angreifbare Zugangstore und -türen sichern, sondern auch digitale Tore und Türen!\"\r\nMit Unterstützung des BKA und Europol sucht die Polizei nun nach den oben genannten Verdächtigen im Rahmen\r\neiner weltweiten Öffentlichkeitsfahndung.\r\nEuropol hat die Cyber-Kriminellen auf ihre \"Europe's most wanted\" - Liste gesetzt https://eumostwanted.eu/de\r\nFür weitere Informationen zum Thema Cyber-Ermittlungen besuchen Sie gern folgende Seiten:\r\nhttps://lka.polizei.nrw/artikel/lagebild-cybercrime https://www.justiz.nrw.de/JM/schwerpunkte/zac/\r\nhttps://lka.polizei.nrw/presse/schlag-gegen-international-agierendes-netzwerk-von-cyber-kriminellen\r\nPage 2 of 3\n\nSource: https://lka.polizei.nrw/presse/schlag-gegen-international-agierendes-netzwerk-von-cyber-kriminellen\r\nhttps://lka.polizei.nrw/presse/schlag-gegen-international-agierendes-netzwerk-von-cyber-kriminellen\r\nPage 3 of 3", "extraction_quality": 1, "language": "DE", "sources": [ "Malpedia" ], "references": [ "https://lka.polizei.nrw/presse/schlag-gegen-international-agierendes-netzwerk-von-cyber-kriminellen" ], "report_names": [ "schlag-gegen-international-agierendes-netzwerk-von-cyber-kriminellen" ], "threat_actors": [ { "id": "50068c14-343c-4491-b568-df41dd59551c", "created_at": "2022-10-25T15:50:23.253218Z", "updated_at": "2026-04-10T02:00:05.234464Z", "deleted_at": null, "main_name": "Indrik Spider", "aliases": [ "Indrik Spider", "Evil Corp", "Manatee Tempest", "DEV-0243", "UNC2165" ], "source_name": "MITRE:Indrik Spider", "tools": [ "Mimikatz", "PsExec", "Dridex", "WastedLocker", "BitPaymer", "Cobalt Strike" ], "source_id": "MITRE", "reports": null }, { "id": "b296f34c-c424-41da-98bf-90312a5df8ef", "created_at": "2024-06-19T02:03:08.027585Z", "updated_at": "2026-04-10T02:00:03.621193Z", "deleted_at": null, "main_name": "GOLD DRAKE", "aliases": [ "Evil Corp", "Indrik Spider ", "Manatee Tempest " ], "source_name": "Secureworks:GOLD DRAKE", "tools": [ "BitPaymer", "Cobalt Strike", "Covenant", "Donut", "Dridex", "Hades", "Koadic", "LockBit", "Macaw Locker", "Mimikatz", "Payload.Bin", "Phoenix CryptoLocker", "PowerShell Empire", "PowerSploit", "SocGholish", "WastedLocker" ], "source_id": "Secureworks", "reports": null }, { "id": "d706edf6-cb86-4611-99e1-4b464e9dc5b9", "created_at": "2023-01-06T13:46:38.839083Z", "updated_at": "2026-04-10T02:00:03.117987Z", "deleted_at": null, "main_name": "INDRIK SPIDER", "aliases": [ "Manatee Tempest" ], "source_name": "MISPGALAXY:INDRIK SPIDER", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "ccd0f6b5-6d20-4d28-9796-88ab6deb4087", "created_at": "2024-06-19T02:03:08.067518Z", "updated_at": "2026-04-10T02:00:03.671628Z", "deleted_at": null, "main_name": "GOLD HERON", "aliases": [ "Doppel Spider " ], "source_name": "Secureworks:GOLD HERON", "tools": [ "Cobalt Strike", "DoppelPaymer", "Dridex", "Grief", "PowerShell Empire" ], "source_id": "Secureworks", "reports": null }, { "id": "9806f226-935f-48eb-b138-6616c9bb9d69", "created_at": "2022-10-25T16:07:23.73153Z", "updated_at": "2026-04-10T02:00:04.729977Z", "deleted_at": null, "main_name": "Indrik Spider", "aliases": [ "Blue Lelantos", "DEV-0243", "Evil Corp", "G0119", "Gold Drake", "Gold Winter", "Manatee Tempest", "Mustard Tempest", "UNC2165" ], "source_name": "ETDA:Indrik Spider", "tools": [ "Advanced Port Scanner", "Agentemis", "Babuk", "Babuk Locker", "Babyk", "BitPaymer", "Bugat", "Bugat v5", "Cobalt Strike", "CobaltStrike", "Cridex", "Dridex", "EmPyre", "EmpireProject", "FAKEUPDATES", "FakeUpdate", "Feodo", "FriedEx", "Hades", "IEncrypt", "LINK_MSIEXEC", "MEGAsync", "Macaw Locker", "Metasploit", "Mimikatz", "PayloadBIN", "Phoenix Locker", "PowerShell Empire", "PowerSploit", "PsExec", "QNAP-Worm", "Raspberry Robin", "RaspberryRobin", "SocGholish", "Vasa Locker", "WastedLoader", "WastedLocker", "cobeacon", "wp_encrypt" ], "source_id": "ETDA", "reports": null }, { "id": "a0d0e1ef-3562-40a8-a021-321db92644d9", "created_at": "2023-01-06T13:46:39.104046Z", "updated_at": "2026-04-10T02:00:03.2146Z", "deleted_at": null, "main_name": "DOPPEL SPIDER", "aliases": [ "GOLD HERON" ], "source_name": "MISPGALAXY:DOPPEL SPIDER", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "d555c5da-abe4-42aa-a8cf-77b68905891a", "created_at": "2022-10-25T16:07:23.548385Z", "updated_at": "2026-04-10T02:00:04.65211Z", "deleted_at": null, "main_name": "Doppel Spider", "aliases": [ "Gold Heron", "Grief Group" ], "source_name": "ETDA:Doppel Spider", "tools": [ "Agentemis", "Cobalt Strike", "CobaltStrike", "DoppelPaymer", "Pay OR Grief", "Pay or Grief", "cobeacon" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434133, "ts_updated_at": 1775792056, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/cde43eaf8ea4c9b58646b372bb7db0a3e1d3edba.pdf", "text": "https://archive.orkl.eu/cde43eaf8ea4c9b58646b372bb7db0a3e1d3edba.txt", "img": "https://archive.orkl.eu/cde43eaf8ea4c9b58646b372bb7db0a3e1d3edba.jpg" } }