¶ Der globale Ransomware-Angriff 2013
Alles beginnt mit einer E-Mail. Sarah ist Mitte 30 und arbeitet für eine wohltätige Organisation in London. Mail der Lloyds Bank kommt nicht überraschend. Sie ist selbst Kundin und wartet auf den Beleg für ein paar verkaufte Aktien. Plötzlich fangen ihre Dateien an, sich zu verändern. Einfach so. Erst eine und dann immer mehr. Aus ihren Familienfotos, Dokumenten, Notizen und Unterlagen werden merkwürdige Dateien mit seltsamen Zahlen und Zeichenkombinationen, die sie nicht mehr öffnen kann.
Dann öffnet sich eine Nachricht auf Ihrem Bildschirm.
Deine persönlichen Daten wurden verschlüsselt.
Sarah bekommt sie nur gegen ein Lösegeld zurück. Das soll sie in Bitcoin, an eine bestimmte Adresse, überweisen. Laut der Nachricht hat sie 95 Stunden Zeit. Danach. Sei alles weg. Sarah Flanders ist kein Einzelfall. 2013 flackern auf Bildschirmen auf der ganzen Welt diese Lösegeldforderungen auf. Auf Rechnern eines indigenen Stammes in den USA, selbst auf Computern der Polizei. Hunderttausende PCs sollen betroffen sein.
So eine Hacking-Kampagne hat die Welt noch nicht gesehen. Wer auch immer sich das ausgedacht hat,
Muss fähig sein.
Fahren, muss Hintermänner haben und Helfer. Das waren Profis. Aber wer wirklich hinter den Attacken steckt, ist ein Mysterium. Die Hacker sind Phantome. Man kennt lediglich ihre Nutzernamen. Wie Slavik oder Aqua. Und während Sicherheitsbehörden überall auf der Welt mit aller Macht nach ihnen suchen, fällt Sicherheitsforschern etwas an der mysteriösen Hacking-Software auf.
¶ Evil Corps Aufstieg und Anklage
Die Hacker verschlüsseln die Rechner ihrer Opfer nicht nur, sie durchsuchen sie. Nach Informationen über georgische Geheimdienstmitarbeiter, über die Chefs türkischer Elite-Polizeieinheiten, über russische Waffenhändler, über den Bürgerkrieg in Syrien. Was hier passiert, ist kein einfacher Cyber-Raubzug, sondern eine gigantische Geheimdienstoperation. Und es gibt eigentlich nur einen Staat, der so sehr an diesen Informationen interessiert ist.
Damals weiß noch keiner, dass das nur der Anfang ist. Niemand ahnt, dass Slavik, Aqua und ihre Komplizen eine Cybergang ins Leben rufen werden, die über 100 Millionen Euro erbeuten wird, die sie an die Spitze der Most-Wanted-Liste des FBI setzen wird, die Cybercrime für immer verändern.
🎵 Music
Who with the stroke of a key and the click of a mouse?
🎵 Music
Hey, Jonas hier, ich hauch euch kurz ein bisschen Werbung ins Ohr, bevor es losgeht. Wer hier skippt, einfach keine Ehre. Anyways, ich find's krass, wie häufig man mittlerweile irgendwo auf.
auf Punkt bezahlen kann. Überall beim Onlineshopping kannst du später zahlen, hier eine Rate, da eine Anzahlung, alles auf Kreditkarte. Ich bin allgemein nicht so eine Kaufmaus, aber ich kenne viele Leute in meinem Umfeld, die sich plötzlich über richtig hohe Zinsen wundern, über ihr Budget gekauft haben, ins Minus gehen, Panik kriegen.
Falls es euch auch mal so geht, kann ich euch Anything empfehlen. Anifin checkt eure bestehenden Kredite, macht ein bisschen Mathe und wenn sie können, bieten sie euch eine Umschuldung eures Kredits zu besseren Zinsen an. So spart ihr im Zweifel richtig viel Geld. Bei Kreditkartenschulden in Deutschland
527 Euro. Das alles hat für euch keinen Nachteil und nur Vorteile. Also zieht euch die Anifin App. Da gebt ihr euren Kreditgeber ein und beantwortet ein paar einfache Fragen. Gebt dann eure Mailadresse und den Code unfassbar ein. Damit bekommt ihr 20 Euro Rabatt auf eure erste Rechnung. Den Link
Eine große, mehrspurige Straße, mitten in Moskau. Die untergehende Sonne taucht die Prachtbauten in goldenes Licht. Und der Verkehr steht. Denn mitten auf der Straße lässt ein aufgemotzter Audi mit Tarnmuster sein Motor auf. Der Audi dreht direkt auf der Kreuzung Donuts. Die Reifen hinterlassen schwarze Spuren auf der Stadt.
Nur vereinzelt trauen sich Fahrer, am röhrenden Audi vorbeizuschleichen. Aber niemand hält ihn auf. Vielleicht denken die Moskauer Autofahrer, wer auch immer hier mit seiner deutschen Luxuskarre protzt, steht über dem Gesetz. Es verrät schon das Nummernschild. Drei Buchstaben stehen da. W-O-R vor. Das ist russisch für Dieb. Und diese Diebe haben sich in der russischen Hauptstadt schon längst einen Namen gemacht. Die Motoren ihrer Sportwagen röhren immer wieder durch die Moskauer Nächte.
Dieser Audi auf der Kreuzung gehört nämlich Evilcore, einer der berüchtigsten, meistgesuchten Cybercrime-Banden der Welt. In den 2010ern sollen die Hacker die Bankkonten von tausenden Opfern leer geräumt und das Geld unter anderem für Luxusautos ausgegeben haben. Ihre Aktionen haben Chaos gestiftet und Schäden in Millionenhöhe verursacht. Und jetzt driften die Hacker ungestört durch Moskau. Evil Corps hat es bis an die Spitze internationaler Cybercrime-Gangs gebracht.
Der 5. Dezember 2019 in Washington. Vertreter des US-Justizministeriums treten vor die Presse. Sie sind hier, um öffentlich ihre Anklage zu verkünden, gegen zwei Mitglieder von Evil Corps.
¶ Phase 1: Die Zeus-Crew entsteht
Darunter ist auch Ihr Anführer, Maxim Jacobe.
Maxime Jakobets of Moscow, Russia, has been indicted in Pittsburgh, Pennsylvania for his alleged role as the leader of a cyber criminal gang responsible for the distribution of a multifunction malware.
Core soll eine Malware verbreitet haben namens Booker.
The Bugat malware facilitated the three
Der Schaden soll über 100 Millionen US-Dollar betragen.
Jakobets is a true twenty first century criminal who with the stroke of a key and the click of a mouse committed cybercrimes across the globe.
Die Hacking-Aktionen von Evilcore sollen sich über den gesamten Globus erstrecken. Alles auf Befehl von Maxim Jakobetz. Seine Spezialität ist Cyberbankraub. Wenn Jakobets und seine Hacker loslegen, verschicken sie als erstes Phishing-Mails. Das sind Mails, die aussehen sollen wie ganz gewöhnliche Nachrichten von Banken, Geschäftspartnern oder Behörden. Im Anhang befindet sich aber keine Rechnung oder ein anderes Dokument, auf das man gewartet hat, sondern eine spezielle Schad-Software.
Zuerst nutzen sie die Malware Bukat, etwas später eine Weiterentwicklung namens Dridex. Diese Programme infizieren den Rechner und beginnen heimlich, weitere Programme auszuführen. Unter anderem einen Keylogger. Ein Keylogger speichert jeden Tastendruck, jeden Klick, jeden eingetippten Buchstaben und schickt die Informationen an die Hacker weiter. Und wenn sich das Opfer in ihr Bankkonto einloggt, lesen die Hacker mit und räumen das Konto anschließend aus.
Zu den Opfern von Evilcore gehören unter anderem das britische Gesundheitswesen und große Unternehmen. Und Evil Core klaut nicht nur selbst. Es ist quasi auch ein Tech-Unternehmen. Es verkauft und vermietet seine Malware auch an andere Kriminelle. Aber Jakobets will von seinen Kunden mehr als nur ein Monatsabo. Wenn Hacker Bugat oder andere Malware von Evilcore nutzen wollen, dann sollen sie einen Teil der Beute an Jakobets abdrücken.
Und diese Beute nutzen sie dann, um wie Könige zu leben. Ein Mitglied von Evil Corps zeigt sich auf einem Foto mit fetten Geldbündeln in der Hand. Die Hacker machen Urlaub auf der besetzten Krim. Ein Video zeigt, wie Mitglieder der Gang mit einer kleinen Raubkatze spielen. Es sieht aus wie ein Tigerjunges. Und dann ist da noch die Hochzeit von Jakobets. Eine prunkvolle Feier mit Wodka und Kaviar. Die Kosten werden auf mehrere hunderttausend Euro geschätzt.
Im Dezember 2019 erklären die USA Jakobets den Krieg. Sie klagen ihn für die vielen Verbrechen an, die er begangen haben soll. Sie machen seinen Namen öffentlich und sie schreiben ein Kopfgeld auf ihn auf. 5 Millionen Dollar für Hinweise, die zur Ergreifung von Maxim Jakobetz führen sollen. Dem Hackerkönig von Ivilcorps. Aber das ist nicht das Ende von Jakobets. Niemand kommt, um den Hacker festzunehmen. Stattdessen lebt der international gesuchte Cyberkriminelle unbehelligt in Moskau weiter.
Die Mitglieder der Gang protzen weiter offen mit ihrem Reichtum und machen Moskau zu ihrem Spielplatz. Aber warum werden sie nicht einfach verhaftet? Weil jemand eine schützende Hand über Evil Core hält.
Für mich steht Evil Corp für eigentlich mit einer der faszinierendsten russischen Cybercrime-Gruppierungen.
Das ist Dr. Kerstin Zettel-Schabat. Kerstin hat lange Zeit zu Hackerangriffen geforscht. Für uns hat sie sich mit der Geschichte von Jakobetz und seiner Gang befasst. Diese Geschichte hat Phasen, und die erste fängt viele Jahre in der Vergangenheit an. In einer Zeit, in der Maxim Jacobetz von Lamborghinis nur träumen konnte. Phase 1
🎵 Music
¶ Phase 2: Die Herrschaft des Business Clubs
Donetsk in der Ostukraine. Heute ist dieses Gebiet völkerrechtswidrig von Russland annektiert. Doch im Jahr 2007 war Donetsk noch eine Stadt, in der man feiert. Und während diese Zeit in einen der Techno-Clubs der Stadt gegangen ist, der hat vielleicht ein Set gehört von DJ Slava Rich.
🎵 Music
Ein junger Typ Anfang 20, kurz aber kräftig. Dunkle Haare, freundliches Lächeln. DJ Slava Rich ist ein Musiknerd, der es liebt, aufzulegen. But he has a secret. DJ Slava Rich verdient sein Geld eigentlich, indem er Leute hackt. Online nennt er sich Tank. Um 2007 herum surft Tank in Darknetphorn und stößt auf die Zoo Smallware. Schon damals muss ihm klar gewesen sein, dass diese Software besonders ist.
Die Suce Melbourne ist ein Banking-Trojaner und eben ein Trojaner, der sich spezifisch darauf spezialisiert hat, um wirklich Zugangsdaten eben vor allen Dingen von Bankkunden zu erhalten.
SUS ist die Grundlage für alles, was später passiert. Mit einem Keylogger zeichnet Süß jeden Tastenanschlag seiner Opfer auf. Das Problem? Banken sind oft mit einer Zwei-Faktor-Authentifizierung geschlossen. Doch dank der malware ist es möglich, sogar diesen Schutz zu umgehen. Mit einer gefakten Bankseite.
Und da waren die eben auch relativ für damalige Verhältnisse innovativ unterwegs.
Mit dieser Software lässt sich ein Haufen Geld erbeuten. Um die Chance zu erhöhen, an Bankdaten zu gelangen, muss Tank viele Rechner mit SUS infizieren. Er muss rechtzeitig die Zwei-Faktor-Authentifizierung aushebeln und vor allem muss er irgendwie das erbeutete Geld in Sicherheit bringen. Für all das braucht er Hilfe. Er braucht ein Team, das er anführen kann. Und das stellt er zusammen.
🎵 Music
kommt ein Hacker, der sich Slavik nennt.
Das technische Genie hinter der ganzen Gruppierung, hinter dem ganzen Vorgehen.
Slavik hat nämlich die SUS-Malware geschrieben. Und für Tank entwickelt er die Software. Es ist anstrengend, rund um die Uhr Hacking-Opfer zu beobachten, bis sie sich endlich in Ihr Bankkonto einloggen. Also integriert er den Messenger-Dienst Jabba in die Malware.
Und das hat dazu geführt, dass er dann eben direkt immer angepingt wurde, sobald sich eben ein potenzielles Opfer eingeloggt hat im Bank-Account.
So kommen die Hacker ans Geld. Doch dann wird es kompliziert. Die Hacker können nicht einfach die Beute an ihre privaten Bankkonten überweisen. Sie müssen ihre Geldflüsse verschleichen. Und Tank holt jemanden ins Team, der sich damit auskennt. Einen jungen Hacker, der sich Aqua nennt. Maxim Jakubec Jakobets ist ebenfalls Anfang 20, stammt auch aus der Ukraine und bringt eine Fähigkeit mit, die der Gruppe gefehlt hat.
Berichten zufolge soll Jakobets Vater schon in der Sowjetzeit gelernt haben, wie man illegal besorgtes Geld beiseite schafft. Zusammen mit Jakobets bauen Tank und Slavik ein internationales Netzwerk aus sogenannten Money-Mutes. Komplizen, die ihnen helfen, die Beute zu sichern.
Relativ ausgeklügelt auch für damalige Verhältnisse.
Die Money-Mules sind oft Studierende, Leute, die einen kleinen Nebenjob suchen in London oder New York. Zuerst testen die Hacker ihre neuen Komplizen mit Fleißaufgaben. Wenn die Money-Mules diese Aufgaben sauber erledigen, weiß die Bande, sie können ihnen für den nächsten Schritt vertrauen. Wenn die Hacker Beute gemacht haben, schicken Sie ihren Money-Mules Anweisungen.
Sie schreiben, eine große Summe Geld käme bald auf dem Firmenkonto an. Dieses Geld sollen die Money-Mules abheben, in Cash. Dann sollen sie es auf mehrere Bankkonten in Osteuropa überweisen. Einen kleinen Rest dürfen sie behalten. Ihre Bezahlung. Die Crew denkt sich dabei kreative Methoden aus, damit ihre Money-Mules unter dem Radar bleiben.
Da ging es zum Beispiel darum, dass sie eben. auch die Lohnabrechnungen von gehackten Unternehmen beispielsweise dann so manipuliert haben, dass sie so ein Money-Mew auf diese Lohnabrechnung mit draufgesetzt haben. Die haben dann natürlich das Geld bekommen und konnten dann abzüglich ihres Anteils dieses Geld dann versenden.
Und das ist extrem lukrativ. Über 70 Millionen Dollar erbeutet die Crew mit Tank an der Spitze, allein in den USA. Diese Zahlen sind Schätzungen. Der Schaden könnte also auch niedriger ausgefallen sein. Oder auch höher. Klar ist, die Hacking-Angriffe sind für ihre Opfer schmerzhaft. Oft sind es Einzelpersonen und kleine Firmen.
Da sind Existenzen wahrscheinlich auch daran zerbrochen, gerade eben im Bereich der kleinen und mittleren Unternehmen.
Doch die Bande wird immer gieriger. Laut Wyatt erleichtern Sie 2009 eine US-amerikanische E-Commerce-Plattform um 450.000 Dollar. Dann hacken Sie eine Firma in Omaha und klauen 100.000 Dollar. Daraufhin wird das FBI aufmerksam auf die Hacker. Die Agenten beobachten die Datenflüsse der Gruppe und stoßen auf einen Server in New York, den die Crew nutzt. It is an absoluter Glückstreffer, denn auf diesem Server finden die Agenten den gesamten Chatverlauf der Such.
Scroll.
Und das war wirklich Gold wert, kann man sagen, denn dadurch konnten sie natürlich mitverfolgen, was die Kriminellen untereinander alles an Informationen ausgetauscht haben.
Sie erfahren etwa den Namen von Tanks neugeborenem Kind. Oder dass ein Helfer der Hacker in einem Spielwarngeschäft in London eine Figur von Thomas der Kleinen-Lokomotive kaufen soll. Diese Hinweise reichen aus, damit die Ermittler zugreifen können. Im Herbst 2010 kommt es weltweit zu Dutzenden Verhaftungen. Die Zeus Crew ist Geschichte.
Doch Tank, Slavik und Maxim Jakobets kommen davon. Und Jakobetz, der junge Hacker und Geldwäscher, hat hier wertvolle Lektionen gelernt. Wie man mit malware Bankkonten ausräumt, wie man ein Netzwerk aus Helfern. Aufbaut und an Millionen kommt. Aber auch, dass die Sicherheit einer Bande in Gefahr ist, wenn Hacker leichtsinnig private Details preisgeben. Ein Jahr später, 2011, in der Welt des Cybercrime, erscheint auf einmal ein neuer Player. Phase 2 The Business Club
Schon allein der Name soll klarmachen, das ist nichts für Hacker in Hoodies, sondern was für wahre Geschäftsmänner. Der Club sucht nach neuen Mitgliedern. Wer mitmachen will in diesem Elite-Club der Hacker, muss zahlen. Beitrittsgebühren. Hinter der Paywall gibt es neue Software. Tools für die Organisation von Money Mules. Und falls beim Clown was schief geht, gibt es ein Ticketsystem.
So soll man Probleme melden können und von Support-Mitarbeitenden lösen lassen. Als wäre Hacking ein ganz normaler IT-Job und kein Werkzeug, um Banken leer zu reden. Die Hacker legen sogar Webseiten an, auf denen sie unter anderem Anleitungen zum Hacken hochladen. Man muss nur das richtige Passwort kennen und auf diese zwei Webseiten gehen. VisitChostweekend.com oder work.bit.
Wenn man sich hier einloggt, findet man alles, um online einen Beutezug zu starten. Die Hacker geben hier Updates über Operationen. Es ist eine Art Kommandozentrale. Die internen Regeln vom Business Club enden mit einer Nachricht an alle Elite-Hacker.
Ich freue euch allen eine produktive und erfolgreiche Arbeit.
Der Gruß kommt aus der Führungsriege der neuen Bande. Auch Maxim Jakobets gehört mittlerweile dazu. Genauso wie Slavik, er ist der Boss. Tank ist nicht mit dabei.
¶ Phase 3: Evil Corp und staatliche Macht
Der Business Club versammelt prominente, vor allem russischsprachige Hacker. Etwa 50 Mitglieder zählt die Gruppe am Ende. Die Idee: Eine neue Bande aus Profis, mit einem neuen Plan, einem BottlenEx.
Und die haben eben als Nachfolgeprojekt dieses Game Overseus Botnetz aufgebaut.
Und das hat es in sich. Game Over SUS heißt die neue Version der SUS-Software. Slavik schreibt sie selbst: Game Over SUS ist noch gefährlicher, fast unerfaltsam. Aus Cyber Security-Kreisen heißt es: Wenn das Zeug auf deinem Rechner landet, dann heißt es Game Over für dich. Hunderttausende Rechner infizieren die Hacker mit dieser Software und leiten damit die zweite Phase ihres Plans ein.
Denn die Computer werden durch die Infektion Teil eines Bot-Netzwerks, das die Hacker kontrollieren. Im Grunde werden diese Rechner zu Zombies. Sie erfüllen willenlos die Aufgaben der Hacker, verschicken haufenweise neue Spam-Nachrichten. und infizieren so neue Opfer.
Ja, die Idee dahinter ist eben nicht nur einzelne Computer zu infizieren und da die Ziele anzuvisieren, sondern im Endeffekt die infizierten Computer zum Teil der Angriffsinfrastruktur werden zu lassen.
Und diese Angriffsinfrastruktur, die nutzt der Business Club auch. Am 6. November 2012 klauen Jakobets und seine Business-Kollegen fast 7 Millionen Dollar aus einer Bank. Dann setzen Sie Ihr gewaltiges Botnetz für eine sogenannte D-DoS-Attacke ein. Die Online-Systeme der Bank werden mit einer Vielzahl an automatisierten Anfragen der infizierten Rechner geflutet, bis sie zusammenbrechen und mehrere Tage offline gehen. Das macht es schwerer, die Hacker zu orten und zu verfolgen.
Doch dabei bleibt es nicht. Schon kurze Zeit später hat der Business Club eine neue Idee, was man mit dem gewaltigen Botnetz anstellen kann. Es zu noch mehr Geld machen.
A warning tonight about one of the most dangerous computer viruses yet. Now this new one called CryptoLocker will actually wipe out your files if you don't pay up.
Cotto Locker, the ransomware from
Ja, Cryptolocker ist im Endeffekt die Verschmelzung der zwei wegweisenden Entwicklung im Cybercrime-Bereich.
Cryptolocker verschlüsselt Daten auf infizierten Rechnern und verlangt von Opfern ein Lösegeld. Und zwar nicht in Euro oder Dollar, sondern in Bitcoin.
Thank you.
Dank Kryptowährungen brauchen Jakobets und seine Freunde keine Money-Mules mehr. Sie können sich das erpresste Lösegeld einfach direkt auf ihre Krypto-Wallets schicken lassen. Damit schaffen die Hacker ein extrem lukratives System. Sie infizieren Rechner für Rechner und kassieren Dollar für Dollar. Es scheint kein Halten mehr zu geben. Hunderttausende werden Opfer. Schätzungen gehen davon aus, dass die Hacker mit diesen Angriffen über drei Millionen Dollar in Lösegeld einstreichen.
Doch Ermittler und Sicherheitsforscher sind ihn bereits auf der Spur. Um den Business Club aufzuhalten, baut das FBI ein gewaltiges Bündnis auf. Sie kontaktieren Behörden in England, in der Schweiz, in den Niederlanden, der Ukraine, Luxemburg. Zum ersten Mal kooperiert das FBI auch mit Experten aus der Wirtschaft, mit Leuten, die für Microsoft, Dell oder CrowdStrike arbeiten.
Am Ende sind es Mitarbeiter der niederländischen Cyber Security-Firma Fox IT, die den Durchbruch schaffen. Sie kommen an alle Usernamen und E-Mail-Adressen der Hacker. So finden Sie heraus, wer hinter den Nicknames der Business Club Bosse steckt. Sie schaffen es, den Erfinder von Game over Zeus zu enttarnen. Slave. Ein russischer Mann in seinen 30ern, der mit seiner Ehefrau und einer jungen Tochter im russischen Küstenort Anapa lebt. Seit er 22 ist, verdient er sein Geld mit Hacking.
Zu diesem Zeitpunkt kennen die Ermittler die Struktur des Monster-Bot-Netzes. Am 30. Mai 2014 beginnen sie mit dem Angriff auf das Netzwerk. Sie schalten die Server aus, die Slavic benutzt, um das Netzwerk zu steuern. Nach einigem hin und her schaffen es die Ermittler schließlich, die Kontrolle über das Bot-Netzwerk zu übernehmen. Game over für den Business Club.
Im Mai 2014 erhebt die USA Anklage gegen Slavik. Doch niemand kommt, um ihn zu verhaften. Auch nicht, als ein Jahr später eine Belohnung von 3 Millionen Dollar auf die Ergreifung von Slavik ausgesetzt wird. Zu der Zeit ist er einer der meistgesuchten Hacker der Welt. Sein Name ist bekannt, sein Wohnort auch. Aber Slavik bleibt frei. Eine mögliche Erklärung finden die Ermittler bei der Zerschlagung des Botnetzes.
Frühjahr 2014, kurz bevor Russland die Krim in der Ukraine an sich reißt. Die Analysten sehen, dass Slavik infizierte Rechner durchsucht hat. Es sieht so aus, als wolle er herausfinden, wie die Ukraine auf die Annexion der Krim antworten könnte. Die Ermittler haben eine Vermutung. Slavik wird in Russland nicht festgenommen, weil er, womöglich, im Auftrag von Putins Regime hackt. Slavik hat diesen Teil seiner Arbeit vor seinen Kollegen wohl geheim gehalten.
Und Maxim Jacobs? Auch er kommt wieder davon. Er hat gelernt, dass man mit Ransomware enorme Summen erpressen kann. Und er will wieder Boss sein. Er tut sich zusammen mit einem anderen Hacker, den er im Business Club kennengelernt hat. Einem Experten für digitalen Bankraub. Die beiden haben eine ganz genaue Vorstellung davon, wie eine moderne Hackergruppe aussehen soll.
Es reicht mit den kleinen Beutezügen, mit der Erpressung von irgendwelchen Einzelpersonen. Sie wollen die Strategie ihrer neuen Gang grundlegend verändern. Sie wollen die ganz großen Player beklauen und das ganz große Geld machen. Und um das zu schaffen, will Jakobets offenbar alle Lektionen umsetzen, die er im Laufe seiner Hackerkarriere gelernt hat. Erstens, er will wieder Banktrojaner einsetzen, um Bankkonten zu knacken. Zweitens, er will Malware benutzen, um Lösegeld zu erpressen.
Drittens, er will die Software an andere Hacker. Und viertens, um die Operation sicherzuhalten, will er den Kreis ganz eng halten. Die neue Gruppe soll ein Familienunternehmen sein. Slavik hat Maxim Jakobets bewiesen, dass Hacker gerne eigene, geheime Ziele verfolgen. Damit soll Schluss sein. In seine neue Gang holt Jakobets enge Vertraute. Und? Seine tatsächliche Familie. Sein Vater und seine Cousins. Und an der Spitze ist er selbst.
Maxim Jacob jetzt war ganz klar der Kopf des Ganzen, das strategische Mastermind, wenn man so möchte.
Und er hat nur ein Ziel. Die fetteste Beute. Und zwar mit Phase 3 Evil Core
Was Evil Core genau ist, erklären wir euch nach einer klitzekleinen Werbeunterbrechung. Blaue Süßigkeiten und Getränke sind ja eigentlich historisch ziemlich sas, ultra süß und leicht künstlich. Und so Zielgruppe sechsjährige Kinder, aber Blue Raspberry von Holi. Nee, wirklich, hear me out, Shepard wirklich. Der Hydration Saft ist richtig schön nostalgisch blau, aber schmeckt so fruchtig und frisch und leicht süß, ohne künstliche Note. Und das wie immer bei Holi ohne Zucker und mit Natur.
Natürlichen Aromen, also zum Sport oder einfach am Arbeitsplatz oder zum Chillen ohne schlechtes Gewissen die perfekte Nummer. Weil ihr euch die Drinks immer selber mixt, sind sie pro Stück auch echt günstig. Also zieht euch jetzt das Starter Set Delauxe und bekommt eine 10er Box mit Blue Raspberry Geschmack gerade an. Außerdem bekommt ihr mit unserem Code unfassbar 10% Rabatt auf euren gesamten Anwendungen.
Klickt dafür einfach auf den Link in den Shownotes und gebt den Code UNFA ein. Von Energy Drinks raten wir wie immer ab.
Es ist 2017 und in einem Pavillon auf einem schicken Golfplatz vor Moskau steigt eine ganz besondere Hochzeit. Es gibt Fotos davon. Darauf sieht man das Brautpaar auf einem weißen Podest, umringt von riesigen weißen Blumenbouquets. Sie in einem wallenden weißen Kleid, er in einem klassischen schwarzen Anzug.
Das Paar steht in einem Saal mit lila Beleuchtung. Im Hintergrund läuft eine Lichtshow mit Bildern von Flammen. Für die Unterhaltung soll sogar Leonid Agutin auftreten, ein echter russischer Popstar. Der Bräutigam ist Maxim Jacobetz.
🎵 Music
Bis zu einer halben Million Euro könnte er Schätzungen zufolge für die Hochzeit bezahlt haben. Eine stolze Summe für einen unvergesslichen Tag für ihn und seine Ehefrau. Sie heißt Aljona Benderskaja, eine Moskauer Unternehmerin. Es ist aber nicht nur die protzige Hochzeit eines neureichen Cyberkriminellen. Diese Hochzeit ist ein wichtiger Schritt in Maxim Jakobets Masterplan. Denn der eigentliche Star dieses Tages ist nicht der russische Popstar und auch nicht Maxim oder seine junge Ehefrau.
Sondern der kräftige Mann mit Halbglatze, der die beiden zum Altar führt. Der Mann ist der Vater der Braut, Eduard Bandersky. Und er hat seine ganz eigene Geschichte. In den 1990er Jahren gibt es eine russische Spezialeinheit, die den Feinden des Landes Furchteinflößen soll. Wimpel ist eine Antiterroreinheit, ein Teil des Inlandsgeheimdienstes FSB, der Nachfolgeorganisation des KGB. Die Wimpel-Agenten bereiten Sabotageaktionen vor. Und?
Attentate Und der Mann, der Aljona Benderskaya zum Altar führt, war ein Teil davon. Von 1990 bis 1994 dient Bendersky nicht nur in der Wimpeleinheit. Die unabhängige Zeitung Novaja Gazieta veröffentlichte 2003 Briefe ehemaliger Geheimdienstmitarbeiter. Sie beschweren sich, Sie wehren sich darin über die Führung der Einheit und werfen ihnen Korruption vor.
Laut den Briefautoren war Bendersky die rechte Hand des Wimpel-Anführers. Der Journalist, der die Briefe abdruckt, stirbt noch bevor der letzte Brief erscheint. Er wurde vergiftet. Sein Tod wird nie aufgeklärt. Doch die Vermutung liegt nahe, dass es gefährlich ist, öffentlich über den ehemaligen FSB-Agenten Bendersky und seine Einheit Wimpel zu sprechen. Auch nach seinem Ausstieg aus der Spezialeinheit bleibt Bendersky offenbar den Idealen von Wimpel treu.
Er leitet eine eigene Söldnertruppe, die etwa russische Ölfirmen im Irak beschützt. Ihr Name Wimpel A. So knüpft Bendersky enge Kontakte bis ganz nach oben in den Kreml. Aufnahmen von 2012 zeigen ihn an der Seite von Wladimir Putin. Kein Wunder, denn für das Putin-Regime ist Bandersky offenbar bereit, bis ans Äußerste zu gehen. Als im Jahr 2019 im Berliner Tiergarten ein tschetschenischer Separatist von einem russischen Agenten ermordet wird, führen alle Spuren zu Eduard Bendersky.
Er soll das Attentat im Hintergrund beaufsichtigt haben. Dieser Mann ist Maxim Jakobets neuer Schwiegervater. Und seine neuen Benefits merkt Jakobet sofort. Eduard Bendersky sorgt dafür, dass Maxim Jakobets Organisation Evilcore mit Mitarbeitern vom russischen Geheimdienst in Kontakt kommt. Die sind sehr interessiert in der Zusammenarbeit mit Cybercrime-Banden.
Zwischen 2014 und 2016 haben russische Geheimdienste neue Cyberkriminelle für ihre Sache rekrutiert. Meistens soll es bei solchen Kooperationen um Geld gehen. Solange die Gangs nicht Russland und seine Verbündeten hacken und dabei vielleicht etwas von der Beute abgeben, dürfen sie weitermachen. Sie bekommen quasi eine Lizenz zum Hacken. Aber Evil Corps bekommt mehr als das. Bereits im Jahr der Hochzeit, also 2017, beginnt Ivel Corps mit der Arbeit für den Geheimdienst FSB.
Wir wissen nicht, was genau sie tun. Doch laut britischen Behörden ist Evil Corps verwickelt in Cyberangriffe auf NATO-Mitgliedstaaten. Währenddessen kann ihr Willkor quasi ungestört mit dem weitermachen, was sie überhaupt erst an diesen Punkt gebracht hat. Beutezüge. Und zwar mit einer neuen Hacking-Software. DryDEX.
Genau, also Drydex ähnlich wie Süß, Game Over Süß, im Endeffekt auch wieder ein Banking-Trojaner, wo es eben auch wieder im Kern darum geht, sensible Daten von Bankaccounts abzugreifen.
Mit Drydex setzt Evilcore nahtlos da an, wo der Business Club aufgehört hat. Wenn Evilcore nicht für den FSB hackt, verschickt die Gang mit einem neuen Bot-Netzwerk Phishing-Mails, vor allem an Windows-User.
die eben dazu verleitet werden sollten, bösartige E-Mail-Anhänge, zum Beispiel in Word oder in Excel zu öffnen, also relativ klassisch, wodurch dann eben auch Makros ausgelöst wurden, die dann Drydex dem Payload heruntergeladen haben und das System eben infiziert haben.
Die neuen Hacks fordern tausende Opfer und füllen die Konten von Evilcore und Jakobets mit schätzungsweise über 300 Millionen Dollar. Aber die ultimative Beute kommt erst ein paar Jahre später. Im März 2021 erwischt eine Ransomware CNA, eines der größten Versicherungsunternehmen der USA, mit Jahresumsätzen in Milliardenhöhe. Der Konzern verliebt den Zugriff auf sein Netzwerk. The ransomware is called Phoenix Locker.
Eine Weiterentwicklung von Hades, einer Evil Core Schad-Software. Zuerst versuchen die IT-Spezialisten der Versicherungsfirma, die Kontrolle über ihre Daten zurückzugewinnen. Nach einer Woche geben sie auf und verhandeln mit den Hackern. CNA zahlt ein Lösegeld in Höhe von 40 Millionen Dollar. Noch nie wurde ein so hohes Lösegeld in einer Ransomware-Attacke dokumentiert. Wir wissen nicht, ob es wirklich Jakobetz war, der CNA erpresst hat, oder eine Gruppe, die seine Schadsoftware benutzt hat.
¶ Der goldene Käfig des Hacker-Königs
Klar ist nur eins. Ohne Ivilcor hätte dieser Angriff so nicht stattfinden können.
🎵 Music
Maxim Jacobetz hat es geschafft. Er hat die wichtigsten Lektionen von einigen der fähigsten Cyberkriminellen der Welt verinnerlicht. Er ist zum Boss seiner eigenen Gang aufgestiegen, und er hat sich mächtige Freunde beim Geheimdienst FSB gemacht. Die halten ihre schützende Hand über ihn, wenn er und seine Freunde in Sportautos durch Moskau heizen.
Jakobets ist der unbestrittene König der russischen Hacker. Zumindest könnte man das glauben, denn am Ende ist es vielleicht doch nicht so leicht wie gedacht, ein König zu sein.
Um die Gruppe eben korb, wenn man wirklich auf der Gruppenebene bleibt, ist es ja eher ruhiger geworden.
Zum ersten Mal seit vielen Jahren gibt es aktuell keine Nachrichten von neuen spektakulären Hacks von Jakobets und Evilcore. Ein Grund, vermutet Kerstin Zettel-Schabat, ist die Anklage der USA aus dem Jahr 2019.
Ja, das Nennen von Maxim Jakob jetzt erstmals 2019 als wirklich auch mit Anführer von Ibelkorb war sicherlich sehr, sehr wichtig, auch im Hinblick darauf, ihm das Leben einfach schwerer zu machen.
Denn at this moment ist Jakobetz kein mysteriöser Hacker mehr, sondern ein Superstar, einer der meistgesuchten Hacker der Welt.
Das hat zum Beispiel auch Chang berichtet.
Tank, der Anführer der Jabba Zeus Crew, der ersten Gang von Maxim Jakobets.
Ihm ging es wohl ähnlich, dass nach seiner Nennung auch auf der FBI Most Wanted Liste natürlich auch andere Akteure versucht haben, was von Kuchen abzubekommen. ihn unter Druck gesetzt haben, weil ja klar war, okay, also wenn der so sehr gesucht ist von den USA, von Großbritannien, dann musste er offensichtlich sehr, sehr reich sein, sehr, sehr viele finanzielle Ressourcen haben.
2022 wird Tank in der Schweiz verhaftet. Vielleicht ist das ja eine Erklärung, warum es auch auf Social Media still geworden ist, um Maxim Jacobitz. Seit 2020 gibt es keine neuen Videos von rührenden Automotoren, von Tigerjungen, Geldstapeln und Urlauben in Dubai mehr. Es gibt aber noch eine andere Erklärung für Maxim Jakobets neue Vorsitzender. Vielleicht hat Schwiegerpapa Bendersky, den Mann seiner Tochter, viel enger an den Geheimdienst gebunden, als bis er bekannt war.
Vielleicht wurden sie auch tatsächlich in eher noch staatlichere Strukturen, Einheiten überführt.
Denn das Verhältnis von Geheimdiensten und Cyberkriminellen in Russland verändert sich.
zu einem aktiveren Management hin, vor allen Dingen so aus 2022, 2023, also dass es nicht mehr so die reinen Blankoschecks gibt, dass jeder, der jetzt nicht russische Ziele anvisiert, relativ frei agieren kann und machen kann, was er will.
Sondern dass offensichtlich schon auch diese Gruppierung in Teilen auch aktiver einen gewissen Mehrwert für staatliche Stellen beweisen müssen, wenn sie eben nicht Gefahr laufen wollen, dann doch mal irgendwie als auch Druckmittel, als Verhandlungsmasse auch auf außenpolitischer Ebene eingesetzt zu werden.
Werde. Und wenn das im Fall von Evil Korps stimmt, dann ist das, was sich Maxim Jakobetz am Ende aufgebaut hat, vor allem eine Art goldener Käfig. Er und seine Familie sind in Sicherheit. Aber die Freiheit, Moskau im Lamborghini unsicher zu machen, scheint weg zu sein. Was bleibt am Ende also von der Geschichte von Russlands Hackakönig? Zwei Sachen.
Erstens, die Erkenntnis, dass Russlands Geheimdienste bereit sind oder zumindest bereit waren, mit Cyberkriminellen zu arbeiten. Der russische Staat hat die Möglichkeit, diese Menschen aufzuhalten, aber tut es nicht. Und zweitens, dass in einer Welt, in der Cyberkriminelle ungestraft hacken dürfen, wir sehr genau auf unsere Rechner, unsere Passwörter, unsere Accounts aufpassen müssen.
Und dass Hacker, die scheinbar nur auf schnelles Geld aus sind, oft genug nach etwas sehr viel Wertvollerem suchen: nach Geheiminformationen für den russischen Staat. Doch was ist jetzt mit Maxim Jacobetz? Auch wenn wir vieles nicht wissen, eine Sache muss klar sein, sagt Kerstin Zettel-Schabat. Man muss damit rechnen, dass Maxim Jacobs in irgendeiner Form.
🎵 Music
Auch weil er eben gezeigt hat. Dass er auf der strategischen Ebene auch sehr anpassungsfähig, sehr widerstandsfähig ist, auch groß denken kann, wenn man so möchte. Und deswegen kann ich mir schon vorstellen, dass er dann noch in welcher Form auch immer aktiv ist im Cyberspace.
Hey, zum Ende nochmal Jonas hier. Zum Schluss wollte ich euch noch eine Podcast-Miniserie empfehlen, die unsere Freunde von Studio Soma gemacht haben. Das ist keine Werbung oder so, sondern die ist einfach gut und wir kennen uns und. So, wenn ihr, so wie ich, eure Kindheit vom Fernseher verbracht habt, dann kennt ihr bestimmt noch diese Melodie aus der Werbung.
🎵 Music
Das war der Dschingle von abindenurlaub.de. Zum Beispiel hat Michael Ballack damals Werbung für die gemacht, und Anfang der 2010er Jahre gab es eine Reihe solcher Portale im Internet. So flüge.de, urlaubstours.de, etc. All diese Seiten kamen von einem Unternehmen namens Unister.
Und die Geschichte dahinter ist wirklich crazy. Das Startup saß nicht im Silicon Valley, sondern in Leipzig. Und dort hat Unistar in kürzester Zeit hunderte Millionen Euro Umsatz gemacht und dabei mit allen Konventionen gebraucht. Und es lief übelst prächtig, bis das Unternehmen abgestürzt ist. Wortwörtlich.
Vier Deutsche bei Flugzeugabsturz in Slowenien getötet.
Um überhöhte Flugpreise, Steuerhinterziehung, unerlaubte Versicherungen und um viel Geld.
Die Tatsache, dass der Mann mit einem Geldkoffer Dass der Dinge macht, von denen andere abraten.
Ich würde dir raten, die Finger davon zu lösen. Ich glaube, wir haben mit der Mafia gesprochen.
Die ganze faszinierende Geschichte hört ihr im Podcast ab in den Urlaub, der Crash des Internet Imperiums Unistam. Ich kann euch das Ding wärmstens empfehlen. Außerdem hostet Sophia den Podcast. Also wer regelmäßig unfassbar hört, was hoffentlich ihr alle seid, dann ist die Stimme auch vertraut. Den Link findet ihr natürlich auch in den Shownotes.
🎵 Music
So, zum Ende. Diese Folge gab es nur dank Anifin und Holi, unseren Sponsoren. Das ist tatsächlich wirklich so. Und wenn ihr uns und damit unabhängigen Journalismus supporten wollt, Dann schaut wirklich mal bei denen vorbei. Links zu ihren Angeboten findet ihr wie immer in den Shownotes. Schreibt uns gerne einen Kommentar bei Spotify zur Story, was ihr dazu denkt oder wie ihr unfassbar allgemein findet.
Und falls ihr es noch nicht getan habt, lasst gerne eine Bewertung auf der Plattform eures Vertrauens da, aber nur wenn es 5 Sterne sind und teilt die Folge mit euren Freunden. So erreicht unsere Arbeit noch mehr Leute. Unsere nächste Folge kommt nächste Woche. Dann geht es um die absurde Geschichte der Escobar-Handys. Unfassbar ist eine Produktion von Simplicissimus.
Recherche und Skript kommen von Dennis Kogel mit Unterstützung von Ruben Kaczko, Sofia Wetzke und Chris Wager. Der Faktencheck kommt von Lisa Viktoria Peter und Pascal Müller. Gesprochen hat Sophia Wetzke. Die komplette Audioproduktion kommt von Ole Zender, Azar Sayed und Benito Pflüger von Studio Sommer unter Regie von Max Stern und Chris Wager. Theme und Outro-Musik sind von Marcel Bekanoi, die CI ist von Mario Hundkanuy. Cheers und bis nächste Woche.