{"id":3400,"date":"2025-06-02T13:50:43","date_gmt":"2025-06-02T13:50:43","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3400"},"modified":"2025-06-02T13:50:43","modified_gmt":"2025-06-02T13:50:43","slug":"bka-enthullt-identitat-von-trickbot-anfuhrer","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3400","title":{"rendered":"BKA enth\u00fcllt Identit\u00e4t von Trickbot-Anf\u00fchrer"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>International gesucht: Hacker-Boss soll sich in Russland verstecken \u2013 Hinweise erbeten.<\/p>\n<p class=\"imageCredit\">DC Studio \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Der Anf\u00fchrer der ber\u00fcchtigten russischen Cybercrime-Gruppe <a href=\"https:\/\/www.csoonline.com\/article\/3493464\/trickbotuk-und-usa-verhangen-sanktionen-gegen-russische-hacker.html\" target=\"_blank\" rel=\"noopener\">Trickbot<\/a>, die seit mindestens 2016 weltweit massive Sch\u00e4den anrichtet, wurde enttarnt: Vitalii Nikolaevich Kovalev, auch bekannt unter dem Pseudonym \u201eStern\u201c, soll der Kopf der Bande sein, die auch unter dem Namen Wizard Spider bekannt ist.<\/p>\n<p>Verantwortlich f\u00fcr die Enth\u00fcllung ist das deutsche <a href=\"https:\/\/www.bka.de\/DE\/IhreSicherheit\/Fahndungen\/Personen\/BekanntePersonen\/Endgame_2\/KVN\/Sachverhalt.html?nn=26874#fahndungsgalerie247626\" target=\"_blank\" rel=\"noopener\">Bundeskriminalamt<\/a> (BKA), wie am 31. Mai bekannt gegeben wurde. Kovalev wird verd\u00e4chtigt, unter mehreren Decknamen wie \u201eStern\u201c, \u201eBen\u201c und \u201eBentley\u201c agiert zu haben. Trotz intensiver internationaler Ermittlungen und Sanktionen, unter anderem durch die USA und das Vereinigte K\u00f6nigreich im Jahr 2023, blieb seine Identit\u00e4t lange Zeit ein Geheimnis.<\/p>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>Der gesuchte Anf\u00fchrer von Trickbot, Vitalii Nikolaevich Kovalev.<\/p>\n<p class=\"imageCredit\">BKA<\/p>\n<\/div>\n<h2 class=\"wp-block-heading\"><strong>Weltweite Schadsoftware-Bedrohung<\/strong><\/h2>\n<p><a href=\"https:\/\/www.csoonline.com\/article\/570169\/trickbot-explained-a-multi-purpose-crimeware-tool-that-haunted-businesses-for-years.html\" target=\"_blank\" rel=\"noopener\">Trickbot<\/a> erlangte unter anderem dadurch Ber\u00fchmtheit, dass sie weltweit Hunderttausende Computersysteme infizierten. Hierzu geh\u00f6rten<\/p>\n<p>Krankenh\u00e4user,<\/p>\n<p>\u00f6ffentliche Einrichtungen,<\/p>\n<p>Unternehmen und<\/p>\n<p>Beh\u00f6rden.<\/p>\n<p>Im Rahmen ihrer Machenschaften erbeuteten sie dabei illegale Gelder in dreistelliger Millionenh\u00f6he. Allein in Deutschland entstand ein Schaden von mindestens 6,8 Millionen Euro. Hierbei stahl Trickbot sensible Daten und verschl\u00fcsselte Systeme mit Ransomware, um L\u00f6segeld in Kryptow\u00e4hrungen zu erpressen. Eine Attacke richtete sich 2020 gezielt gegen 428 Krankenh\u00e4user in den USA, wie interne Nachrichten belegen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Chats belegen zentrale Entscheidungsrolle<\/strong><\/h2>\n<p>Interne Chat-Leaks aus den Jahren 2022, bekannt als \u201eTrickbotleaks\u201c und \u201eContiLeaks\u201c, offenbarten die Strukturen und das t\u00e4gliche Gesch\u00e4ft der Gruppe. Dadurch wurde ersichtlich, dass Trickbot hochgradig organisiert und hierarchisch mit zeitweise \u00fcber 100 Mitgliedern organsiert war, die verschiedene Schadsoftware-Varianten einsetzten.<\/p>\n<p>Diese Chats zeigten auch, dass Kovalev als \u201eCEO\u201c fungierte und von anderen Mitgliedern vor Angriffen um Zustimmung gebeten wurde. Die Ermittlungen gegen den Russen basieren auf der Analyse dieser durchgesickerten Chat-Daten. Auch Malware-Untersuchungen und internationale Kooperationen im Rahmen der <a href=\"https:\/\/www.operation-endgame.com\/\" target=\"_blank\" rel=\"noopener\">Operation Endgame<\/a>, die sich gegen die Infrastruktur der Cyberkriminellen richtet, spielten eine Rolle.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Gemeinsame kriminelle Infrastruktur<\/strong><\/h2>\n<p>Im Rahmen dieser Auswertung, wurde auch ersichtlich, welche Ransomware die Kriminellen einsetzen. Zu den verwendeten Malware-Tools z\u00e4hlen, neben Trickbot selbst,<\/p>\n<p>Bazarloader,<\/p>\n<p>SystemBC,<\/p>\n<p>IcedID,<\/p>\n<p>Ryuk,<\/p>\n<p>Conti und<\/p>\n<p>Diavol.<\/p>\n<p>Die enge Verzahnung von Trickbot mit der <a href=\"https:\/\/www.csoonline.com\/article\/3494236\/analyse-der-hackergruppe-contiso-arbeiten-ransomware-erpresser.html\" target=\"_blank\" rel=\"noopener\">Conti<\/a>-Ransomware-Bande f\u00fchrte zus\u00e4tzlich zu einer gemeinsamen kriminellen Infrastruktur. Diese Verbindung unterst\u00fctze auch politisch motivierte Aktionen, etwa durch eine Pro-Russland-Erkl\u00e4rung von Conti w\u00e4hrend des Ukraine-Kriegs.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Trickbot als Vorbild moderner Cyberkriminalit\u00e4t<\/strong><\/h2>\n<p><a href=\"https:\/\/www.wired.com\/story\/trickbot-trickleaks-bentley\/\" target=\"_blank\" rel=\"noopener\">Experten<\/a> sehen in Kovalev und der Trickbot-Gruppe einen Meilenstein der Professionalisierung in der russischen Cyberkriminalit\u00e4t. Die von ihm geschaffene Struktur und das Gesch\u00e4ftsmodell dienten als Vorlage f\u00fcr viele nachfolgende kriminelle Organisationen im Dark Web.<\/p>\n<p>Zudem wird vermutet, dass Kovalev Verbindungen zum russischen Geheimdienst FSB unterh\u00e4lt. Das w\u00fcrde erkl\u00e4ren, warum er trotz internationaler Fahndung lange unentdeckt bleiben konnte.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Beh\u00f6rden erbitten Hinweise<\/strong><\/h2>\n<p>Kovalev wird aktuell in Deutschland und international als R\u00e4delsf\u00fchrer einer kriminellen Vereinigung gesucht. Sein Aufenthaltsort ist unbekannt, es wird jedoch angenommen, dass er sich in Russland aufh\u00e4lt, was eine Auslieferung erschwert. Die Strafverfolgungsbeh\u00f6rden bitten um Hinweise auf seine aktuellen Online-Konten oder Kommunikationswege, um ihn festzunehmen.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>International gesucht: Hacker-Boss soll sich in Russland verstecken \u2013 Hinweise erbeten. DC Studio \u2013 shutterstock.com Der Anf\u00fchrer der ber\u00fcchtigten russischen Cybercrime-Gruppe Trickbot, die seit mindestens 2016 weltweit massive Sch\u00e4den anrichtet, wurde enttarnt: Vitalii Nikolaevich Kovalev, auch bekannt unter dem Pseudonym \u201eStern\u201c, soll der Kopf der Bande sein, die auch unter dem Namen Wizard Spider bekannt [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":3401,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3400","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3400"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3400"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3400\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3401"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3400"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3400"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3400"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}