Im Zusammenhang mit der groß angelegten Polizeiaktion "Operation Endgame 2.0" sucht das Bundeskriminalamt (BKA) zahlreiche Cyberkriminelle – unter ihnen ist auch Vitalii Nikolaevich Kovalev, vor allem bekannt als "Stern". Er soll der Kopf der berüchtigten Trickbot-Bande sein, eine Organisation, deren Struktur stark an ein herkömmliches Unternehmen erinnerte, "Stern" soll dabei sozusagen der CEO gewesen sein. Jetzt sucht das BKA auch mit seiner Identität und Fotos nach ihm.
Kovalev ist russischer Staatsbürger und steht laut Fahndungsausschreibung im Verdacht, als Gründer der Gruppe hinter der gleichnamigen Schadsoftware einen wesentlichen Tatbeitrag zur Durchführung von globalen Cyberattacken geleistet zu haben. Demnach ist er verdächtig, unter den Pseudonymen <stern> und <ben> die Gruppierung gegründet und als deren Anführer fungiert zu haben. Mindestens seit 2016 soll die Gruppe Hunderttausende PCs mit schädlicher Software wie Malware oder Ransomware infiziert haben.
Laut BKA erlangte sie durch ihre illegalen Aktivitäten Geldbeträge im dreistelligen Millionenbereich. Zu den Opfern zählen laut BKA Krankenhäuser, öffentliche Einrichtungen, Unternehmen, Behörden und Privatpersonen. Allein in Deutschland soll die Gruppierung einen Schaden in Höhe von mindestens 6,8 Millionen Euro verursacht haben. Bei Endgame 2.0 gingen insgesamt 300 Server offline, 50 davon in Deutschland, sie werden Trickbot und Qakbot, einer anderen Cybercrime-Gruppe, zugeordnet.
Das Bemerkenswerte am Gesuchten Kovalev ist, dass er die Organisation hinter Trickbot wirklich ähnlich wie ein normales Softwareunternehmen führte. Vor rund drei Jahren lieferte ein Bericht spannende Details zu Arbeitsweise und Organisation der Bande. Zum Beispiel, dass es zu diesem Zeitpunkt innerhalb der Organisation viele Spezial-Teams wie die Crypter gab, die sich in eigenen Chat-Gruppen austauschten. Die Crypter bauten ausschließlich Tools, mit denen sich Malware so verschleiern lässt, dass sie von Antiviren- und Sicherheits-Software nicht mehr entdeckt wird.
Jede Arbeitsgruppe hatte ihren eigenen Teamleader, darüber gab das Management Strategie und Richtung vor – mutmaßlich vor allem Kovalev, der heute als Anführer der Bande gesucht wird. Klingt erstmal nach herkömmlichem organisierten Verbrechen – doch in dem Bericht ist auch von regelmäßigen, zweiwöchentlichen Zahlungen, Krankengeld und Urlaub und einem 13. Monatsgehalt die Rede. Das geht aus Kommunikationsverläufen der Gruppe hervor, die den Urhebern vorlagen. Die für Cyberkriminalität eher neuartigen Strukturen sorgten damals für Aufsehen – der heute identifizierte und gesuchte Kovalev dürfte so etwas wie ein Vorreiter gewesen sein.
Das BKA geht davon aus, dass der Gesuchte in der Russischen Föderation lebt. Der aktuelle Aufenthaltsort des Gesuchten sei unbekannt. Namen und Chatverläufe von Trickbot-Angehörigen kursierten schon seit 2022. Das BKA hat diese Informationen nach eigenen Angaben analysiert und ausgewertet. Im Zusammenhang mit Kovalev werden laut BKA noch 17 weitere Personen gesucht, die sich, so vermutet das BKA, offenbar vielfach in Russland aufhalten.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare