Emotet: Mutmaßlicher Admin ist Schlüsselfigur für das BKA

Journalisten von BR und Zeit konnten Kontakt zu einem mutmaßlichen Admin der Schadsoftware Emotet aufnehmen.

Artikel veröffentlicht am ,
Ein mutmaßlicher Emotet-Admin wurde im Januar festgenommen.
Ein mutmaßlicher Emotet-Admin wurde im Januar festgenommen. (Bild: vishnu vijayan/Pixabay)

Am 26. Januar 2021 stürmten Polizisten in der ukrainischen Stadt Charkiw einen Plattenbau. Aus seiner Wohnung heraus soll ein 48-Jähriger die Server der Schadsoftware Emotet gewartet haben, die weltweit für Millionenschäden verantwortlich ist. Der Bayerische Rundfunk (BR) und das Medium Zeit konnten Kontakt zu dem Ukrainer aufnehmen.

Über seinen Anwalt bestreitet er die Vorwürfe der Ermittler. "Die haben gesagt, dass von den Servern eine gefährliche Erpressungssoftware gesteuert wird. Das wusste ich einfach nicht." Er habe für ein paar Stammkunden Server gewartet, für 40 bis 80 US-Dollar im Monat pro Maschine, erklärt der Mann, dem die Journalisten in ihrem Artikel den Namen Petro Ponomarenko gegeben haben. Auch Software will er für seine Kunden installiert oder Daten von einem Gerät auf ein anderes übertragen haben.

Seine Wohnung und seine Rechner wirken auf Fotos der Polizei alt und heruntergekommen. Sie passen nicht zu dem Multi-Millionen-Dollar-Geschäft mit der Schadsoftware Emotet. Die Rechner habe er auf dem Flohmarkt gekauft, sagte Ponomarenko den Journalisten von BR und Zeit. Das Geld, das er mit ihnen verdiene, benötige er für die Behandlung seine herzkranken Kindes.

Konto in Forum für Cyberkriminalität

BR und Zeit graben weiter. Sie suchen in den sozialen Medien, finden Fotos von Ponomarenko mit Locken und Sonnenbrille. Er verbrachte viel Zeit in einem russischsprachigen Linux-Forum und erstellte in seiner Freizeit Level für das Computerspiel Doom II. Der studierte Computertechniker bot seine Dienste als Admin in Internetforen an.

Doch auch in einem russischsprachigen Forum für Cyberkriminalität finden die Journalisten ein Konto, das mit einer von Ponomarenkos E-Mail-Adressen registriert wurde. Dort bieten Programmierer und Hacker ihre Dienste für Straftaten feil: Crime-as-a-service.

Ponomarenkos Anwalt spricht von "Seiten für Spezialisten", wo Meinungen ausgetauscht und Kontakte geknüpft würden. Sein Mandant habe keine kriminelle Ausrichtung.

Coup für das BKA

Das BKA möchte sich zu den laufenden Ermittlungen nicht äußern, geht aber davon aus, dass die Kriminellen hinter Emotet Ponomarenko für die Instandhaltung ihres Botnetzes angeworben haben. Seine Anweisungen soll er von einer Person aus Russland entgegengenommen und mutmaßlich direkt mit der Kerngruppe hinter Emotet kommuniziert haben. Damit bleibt allerdings weiter unklar, wer Emotet entwickelt und große Summen damit verdient hat.

"Wir haben es mit absoluten Profis zu tun, die letzten Endes auch durch die Dauer, in der sie dieses Botnetz aufrechterhalten und vor den Strafverfolgungsbehörden zunächst geheim halten konnten, nochmal unterstrichen haben, mit welcher Akribie und Professionalität sie da eigentlich vorgegangen sind", sagte Linda Bertram, Staatsanwältin der Zentralstelle für die Bekämpfung der Internetkriminalität (ZIT), dem BR.

Für das BKA ist die Übernahme der Emotet-Server und die Festnahme von Ponomarenko im Januar ein Coup. Für sie ist er eine Schlüsselfigur, die sie zu den Hintergründen von Emotet befragen können. Entsprechend lange hat allein das erste Verhör gedauert. Fünf Stunden, sagt Ponomarenko. Er sei nach den Servern und wer Zugriff auf diese habe, gefragt worden, wer ihn beauftragt und wer die Steuerungssoftware für das Botnetz programmiert habe.

Zehntausende Emotet-Betroffene allein in Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht allein in Deutschland von mehreren Zehntausenden Emotet-Betroffenen aus. Darunter waren Firmen, aber auch etliche Behörden, wie das Kammergericht in Berlin. BSI-Präsident Arne Schönbohm nannte Emotet im Jahr 2019 gar den "König der Schadsoftware".

Auf den beschlagnahmten Servern fanden sich auch 4,3 Millionen Zugangsdaten zu E-Mail-Konten. Diese gab das FBI an den Dienst Have I Been Pwned (HIBP) weiter. Dort kann überprüft werden, ob man zu den Betroffenen zählt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Truppenversuch
Microsofts Kampfbrille macht Soldaten schlechter

Beim Truppenversuch der modifizierten Hololens 2 für die US-Armee hat sich herausgestellt, dass die Soldaten an Kampfkraft einbüßen und die Brillen ablehnen.

Truppenversuch: Microsofts Kampfbrille macht Soldaten schlechter
Artikel
  1. Morgan Stanley: Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter
    Morgan Stanley
    Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter

    Wegen der Nutzung von Whatsapp hatten Finanzregulatoren 2022 mehrere Banken mit hohen Strafen belegt.

  2. Nutzertest: Deutsche Glasfaser erreicht 1 GBit/s nicht ganz
    Nutzertest
    Deutsche Glasfaser erreicht 1 GBit/s nicht ganz

    Ein Kunde hat seine Hardware aufgerüstet, dennoch bekommt er statt 1 GBit/s nur 950 MBit/s im Download. Deutsche Glasfaser forscht nach.

  3. Nutzerfreundlichkeit und Datenschutz: Fünf All-in-One-Messenger im Vergleichstest
    Nutzerfreundlichkeit und Datenschutz
    Fünf All-in-One-Messenger im Vergleichstest

    Ständiges Wechseln zwischen Messenger-Apps ist lästig. All-in-One-Messenger versprechen, dieses Problem zu lösen. Wir haben fünf von ihnen getestet und große Unterschiede bei Bedienbarkeit und Datenschutz festgestellt.
    Ein Test von Leo Dessani

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • XFX RX 7900 XTX 1.199€ • WSV bei MM • Razer Viper V2 Pro 119,99€ • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM/Graka-Preisrutsch • Razer Gaming-Stuhl -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€[Werbung]
    •  /