Ermittlern des Cybercrime-Zentrums Baden-Württemberg und des Landeskriminalamtes ist ein bedeutender Schlag gegen die organisierte Cyberkriminalität gelungen: Sie identifizierten den mutmaßlichen Kopf und den Programmierer der berüchtigten Ransomware-Gruppen „GandCrab“ und „REvil“ (auch „Sodinokibi“ genannt). Gegen beide Beschuldigten wurden Haftbefehle erwirkt und eine weltweite Fahndung eingeleitet.

Die beiden Gesuchten stehen im dringenden Verdacht, für den Cyberangriff auf die Württembergischen Staatstheater Stuttgart im Jahr 2019 mitverantwortlich zu sein. Die Ransomware-Gruppe „GandCrab“ war in den Jahren 2018 und 2019 aktiv, bevor mehrere Mitglieder der Organisation, darunter die beiden Gesuchten, noch 2019 die Gruppe „REvil“ gründeten und ihre Angriffe bis Juli 2021 fortsetzten.

Den Haftbefehlen zufolge waren die beiden Beschuldigten zwischen 2019 und 2021 an Angriffen auf insgesamt 130 Unternehmen und Einrichtungen in Deutschland beteiligt. In 25 Fällen zahlten die Opfer das geforderte Lösegeld – der Gesamtschaden beläuft sich auf rund 1,8 Millionen Euro. Die höchste einzelne Lösegeldsumme betrug 658.000 Euro.

Die wirtschaftlichen Schäden in Deutschland sind dramatisch: Sie belaufen sich auf rund 35 Millionen Euro. Allein einem Unternehmen aus Baden-Württemberg entstand ein Schaden von etwa 9 Millionen Euro. Weltweit wird der durch diese Gruppen verursachte wirtschaftliche Schaden auf mehrere hundert Millionen Euro geschätzt.

Bei „GandCrab“ und „REvil“ handelte es sich um sogenannte Ransomware-as-a-Service-Modelle mit arbeitsteiliger Struktur. Angreifer (Affiliates) drangen in IT-Netzwerke ein, exfiltrierten bei „REvil“ auch sensible Daten und verschlüsselten anschließend die Computersysteme mit der von den Gruppierungen bereitgestellten Software. Die Organisationen gingen höchst professionell vor und forderten hohe Lösegelder für die Entschlüsselung und Nichtveröffentlichung der Daten.

Der mutmaßliche Kopf der Gruppierung soll die Produkte „GandCrab“ und „REvil“ beworben und Affiliates angeworben haben. Zudem organisierte er die Abwicklung der Lösegeldtransaktionen. Dem mutmaßlichen Programmierer wird vorgeworfen, die Darknet-Seite zur Organisation und Verwaltung von Erpressungen sowie die Schadsoftware entwickelt und fortentwickelt zu haben.

Die Identifizierung gelang nach akribischer Auswertung unzähliger Datensätze, darunter Kryptowährungstransaktionen, sowie durch ständigen Austausch und Zusammenarbeit mit Partnerbehörden in Europa und Nordamerika. Bereits am 30. Januar 2026 hatte das Cybercrime-Zentrum die Verurteilung eines mutmaßlichen Erpressers der Württembergischen Staatstheater und von weiteren 21 deutschen Unternehmen zu einer Gesamtfreiheitsstrafe von 7 Jahren durch das Landgericht Stuttgart erwirkt.

Die öffentliche Fahndung nach den Beschuldigten Shchukin und Kravchuk wurde im Fahndungsportal des Bundeskriminalamtes und des Landeskriminalamtes Baden-Württemberg eingestellt. Zusätzlich wurden beide auf die EU-Most-Wanted-Liste gesetzt. Hinweise können an das E-Mail-Postfach stuttgart.lka.hinweise@polizei.bwl.de gerichtet werden. Die geplanten Maßnahmen zur Festnahme werden international eng koordiniert.