Technologie-News

EU und UK sanktionieren russische Cyberkriminelle


Dieser Bericht fasst die IT-Sicherheit-Nachrichten vom 18. Juli 2026 zusammen und basiert ausschließlich auf den Originaltexten der Quellen.

EU und UK sanktionieren russische Cyberkriminelle

EU und UK sanktionieren russische Cyberkriminelle
🤖 KI-generiertes Bild

Drei russische Staatsbürger sollen mit gemieteten Servern Schäden von über 62 Millionen US-Dollar ermöglicht haben. Laut sentinelone.com entsiegelten US-Staatsanwälte diese Woche die Anklagen, während EU und Vereinigtes Königreich zahlreiche Russen mit Sanktionen belegten.

Die EU und das Vereinigte Königreich sanktionierten gemeinsam mehrere russische Personen und Firmen. Diese hatten Regierungsnetze und kritische Infrastruktur in ganz Europa angegriffen.

Betroffen sind hohe Offiziere des russischen Militärgeheimdienstes GRU und vier Firmen, die mit dem Inlandsgeheimdienst FSB verbunden sind. Der russische Staat setzt dafür eigene Einheiten, angeworbene Kriminelle und Privatfirmen ein.

VPN-Anbieter und Verschlüsseler im Visier

Das US-Finanzministerium (Treasury Department) belegte zwei Personen und einen VPN-Anbieter mit Sanktionen. Sie sollen Ransomware-Angriffe auf amerikanische Organisationen ermöglicht haben.

Die Behörde OFAC nannte First VPN Service (1VPNS) und dessen Betreiber Dmytro Rashevskyi. Der Dienst verschleierte die Identität der Täter und speicherte keine Nutzerdaten. Ermittler schalteten ihn im vergangenen Mai ab.

Yegeniy Silayev entwickelte laut den Ermittlern Verschlüsseler, die Schadsoftware tarnen. Diese Werkzeuge sollen Schäden von Milliarden US-Dollar in kritischen Sektoren verursacht haben.

Drei weitere Russen betrieben laut Anklage sogenanntes Bulletproof-Hosting. Das sind Server, die Beschwerden von Opfern und Behörden schlicht ignorieren.

Die Angeklagten Aleksandr Volosovik, Yulia Pankova und Kirill Zatolokin führten „Media Land“ und „ML Cloud“. Sie lieferten die Technik für Banden wie Lockbit, Play und Blacksuit.

Das US-Außenministerium (State Department) bietet nun 10 Millionen US-Dollar Belohnung. Gesucht sind Hinweise auf Verbindungen zwischen ausländischen Regierungen und diesen Anbietern.

Person Rolle
Dmytro Rashevskyi Betreiber von First VPN Service (1VPNS)
Yegeniy Silayev Entwickler von Verschlüsselern
Aleksandr Volosovik Betrieb Media Land / ML Cloud
Yulia Pankova Betrieb Media Land / ML Cloud
Kirill Zatolokin Betrieb Media Land / ML Cloud

Getarnte Software bringt den Starland-Trojaner

Eine finanziell motivierte russische Gruppe verteilt Schadsoftware über gefälschte Programme. Cisco Talos verfolgt sie unter dem Namen UAT-11795, aktiv seit Juni 2025.

Die Täter tarnen ihre Installer als bekannte Software: WebEx, Zoom, MobaXterm, DBeaver und FaceIT. Ziele sind Nutzer in den USA, Deutschland, Rumänien und Venezuela.

Vermutlich verteilen sie die Dateien über die Social-Engineering-Masche ClickFix. Die Angriffskette startet, wenn das Opfer eine schädliche HTA-Datei öffnet.

Diese Datei lädt einen manipulierten NSIS-Installer nach. Darin versteckt sich ein Python-Lader, getarnt als Textdokument. Er ändert die Windows-Registry für dauerhaften Zugriff und installiert dann den Fernzugriffs-Trojaner Starland.

Was Starland auf dem Rechner sucht

Starland prüft zuerst, ob es in einer Sandbox läuft. Danach legt es geplante Aufgaben an und versucht, höhere Rechte zu bekommen.

Die Schadsoftware durchsucht das System nach Browser-Daten, Krypto-Wallets, Konfigurationen, Antivirus-Programmen und Active Directory. Sie macht Screenshots, führt beliebige Befehle aus und lädt weitere Schadprogramme nach.

Je nach System liefert Starland zwei Varianten. Eine 64-Bit-Kette bringt den Datendieb CastleStealer, eine 32-Bit-Kette den Trojaner Remcos.

Für eine stabile Steuerung nutzt die Gruppe einen Polygon-Smart-Contract als Ausweich-Adresse. Zwei Telegram-Bots melden Gerätedaten und den Inhalt der Krypto-Wallets.

Fast 300 falsche GitHub-Seiten

Kriminelle veröffentlichten fast 300 gefälschte GitHub-Repositorys. Sie verbreiten einen Datendieb aus der Malware-Familie BoryptGrab.

Die Seiten geben sich als Sicherheitsprodukte, Krypto-Werkzeuge und Entwickler-Tools aus. Client-seitige Skripte lesen die Herkunfts-URL und zeigen passende Logos und gefälschte Vertrauens-Abzeichen.

Nach dem Klick lädt das Opfer ein ständig wechselndes ZIP-Archiv. Darin liegt ein echter, signierter WinGUP-Updater neben einer manipulierten DLL-Datei.

Startet der Nutzer den Updater, lädt dieser die schädliche Datei per Side-Loading. Der Code läuft direkt im Arbeitsspeicher. Die Schadsoftware verzichtet auf dauerhafte Spuren und stiehlt in einem Durchlauf so viele Daten wie möglich.

Fazit

Über 62 Millionen US-Dollar Schaden schoben drei russische Staatsbürger mit gemieteten Servern an — diese Woche entsiegelten US-Staatsanwälte laut sentinelone.com die Anklagen. Parallel belegten EU und Vereinigtes Königreich mehrere russische Personen und Firmen mit Sanktionen, darunter hohe Offiziere des Militärgeheimdienstes GRU und vier Firmen mit Verbindung zum FSB, die Regierungsnetze und kritische Infrastruktur in ganz Europa angriffen. Das US-Finanzministerium ging zusätzlich gegen zwei Personen und den VPN-Anbieter First VPN Service (1VPNS) vor, die Ransomware-Angriffe auf amerikanische Organisationen ermöglicht haben sollen.

Häufig gestellte Fragen

Wie hoch war der Schaden, den die drei russischen Staatsbürger verursachten?

Über 62 Millionen US-Dollar — ermöglicht durch gemietete Server, wie die diese Woche entsiegelten US-Anklagen zeigen.

Welche russischen Geheimdienste stehen im Fokus der EU- und UK-Sanktionen?

Betroffen sind hohe Offiziere des Militärgeheimdienstes GRU sowie vier Firmen, die mit dem Inlandsgeheimdienst FSB verbunden sind.

Warum sanktionierte das US-Finanzministerium den Anbieter First VPN Service (1VPNS)?

Weil 1VPNS zusammen mit zwei sanktionierten Personen Ransomware-Angriffe auf amerikanische Organisationen ermöglicht haben soll; die Behörde OFAC nannte den Anbieter namentlich.


📚 Quellen

Dieser Beitrag wurde automatisch mit Unterstützung von KI erstellt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert