Ein Mitglied der Cyberkriminalitätsgruppe Karakurt wurde in den Vereinigten Staaten zu 8,5 Jahren Haft verurteilt, weil er als Verhandler bei groß angelegten Ransomware- und Datenerpressungsoperationen tätig war.
According to US authorities Deniss Zolotarjovs, ein lettischer Staatsbürger, spielte eine zentrale Rolle bei der Verhandlung von Lösegeldforderungen im Namen der Karakurt-Gruppe. Er wurde 2023 in Georgia festgenommen und später in die USA ausgeliefert, wo er sich schuldig bekannte wegen Verschwörungsvorwürfen im Zusammenhang mit Drahtbetrug und Geldwäsche.
Die Staatsanwaltschaft sagte, Zolotarjovs habe als “Cold Case”-Verhandler agiert und habe wieder Kontakt zu Opfern aufgenommen, die sich zunächst geweigert hatten, Lösegeldforderungen zu zahlen. Seine Rolle bestand darin, zusätzlichen Druck auszuüben, indem gestohlene Daten, darunter sensible persönliche und gesundheitliche Informationen, genutzt wurden, um Organisationen zu zwingen, die Zahlung zu überdenken.
Die Karakurt-Gruppe, die aus Mitgliedern hervorging, die mit der Conti-Ransomware-Operation in Verbindung standen, konzentrierte sich hauptsächlich auf Datendiebstahl und Erpressung statt auf Verschlüsselungsangriffe. Nach dem Eindringen in die Netzwerke exfiltrierte die Gruppe große Datenmengen und drohte, diese zu leaken oder zu verkaufen, sofern die Opfer nicht bezahlten.
Gerichtsunterlagen zeigen, dass Zolotarjovs mit mindestens sechs Erpressungsverfahren gegen US-Organisationen zwischen 2021 und 2023 in Verbindung stand. Bei diesen Vorfällen setzten die Angreifer Verhandlungstaktiken ein, um die Zahlungen zu maximieren, indem sie Opfer recherchierten und Druckkampagnen anpassten.
Die Behörden schätzen, dass Angriffe im Zusammenhang mit seiner Aktivität Verluste in Höhe von zig Millionen Dollar verursachten. In einer Teilmenge bestätigter Fälle meldeten 13 Opferorganisationen Schadensersatz in Höhe von über 56 Millionen US-Dollar, darunter Lösegeldzahlungen in Höhe von etwa 2,8 Millionen US-Dollar. Weitere Opfer sollen mindestens 13 Millionen Dollar bezahlt haben, obwohl die vollständigen Zahlen aufgrund von Unterberichterstattung unklar bleiben.
Ermittler stellten fest, dass Zolotarjovs auch Verbindungen zu anderen Ransomware-Operationen hatte, darunter Gruppen wie Royal, Akira und TommyLeaks, was auf Überschneidungen im breiteren Cyberkriminalitäts-Ökosystem hinweist.
Beamte bezeichneten den Fall als einen bedeutenden Schritt zur Bekämpfung von Personen, die an Ransomware-Operationen beteiligt sind, insbesondere jene, die für die Aushandlung und Durchsetzung von Erpressungsforderungen verantwortlich sind. Zolotarjovs ist das erste bekannte Mitglied der Karakurt-Gruppe, das in den Vereinigten Staaten verurteilt wurde, wobei die Behörden signalisieren, dass weitere Strafverfolgungen folgen könnten.
Der Fall verdeutlicht den zunehmenden Fokus darauf, die menschliche Infrastruktur hinter Ransomware-Kampagnen abzubauen, einschließlich Verhandler, die eine Schlüsselrolle bei der Umwandlung von Datenpannen in finanziellen Gewinn spielen.