Bekämpfung läuft oft ins Leere

Innovativ ist auch die Idee, in Foren im russischsprachigen Darknet kulturelle Captchas zu verwenden, um sicherzustellen, dass es nur russischsprachige Teilnehmer gibt. Um die Captchas zu lösen, muss man sich in der russischen Kultur auskennen, zum Beispiel bestimmte Witze oder Karikaturen kennen.

Einer der meistgenutzten Kanäle für Kommunikation und Koordination ist Telegram, das in Russland ohnehin sehr populär ist, weil es weniger stark zensiert wird als soziale Medien. "Es ist sehr schwierig, die Backend-Systeme hinter den Telegram-Bots zu identifizieren, außer Telegram würde dabei kooperieren" , erklärt Yarochkin.

Das Bundeskriminalamt (BKA) wollte sich auf Nachfrage nicht näher zum Thema äußern, sondern verwies auf sein allgemeines Bundeslagebild Cybercrime 2024. Darin heißt es, dass die personenbezogene Bekämpfung vielfach ins Leere laufe, wenn professionelle Tätergruppierungen aus "Safe Havens" heraus agieren; also Staaten wie Russland, die nicht oder nur sehr schlecht mit westlichen Strafverfolgungsbehörden zusammenarbeiten.

Stattdessen setzt das BKA darauf, die kriminellen Infrastrukturen wie Server und Domains sowie Geldmittel zu beschlagnahmen und internationale Haftbefehle zu erlassen. So hat es die Behörde zum Beispiel in den Operationen Endgame und Endgame 2.0 praktiziert, der größten internationalen Polizeioperation gegen Cyberkriminalität(öffnet im neuen Fenster) . Die daraus resultierten Haftbefehle richteten sich überwiegend gegen Russen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft 365 Copilot sicher administrieren und integrieren

zum Artikel

Karriere Ratgeber: 996: Von Shenzhen ins Silicon Valley und bald nach Berlin? Das Comeback der 72-Stunden-Woche

zum Ratgeber

Seminar: FitSM Foundation mit Zertifikat: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: Mehr digitale Ordnung für Selbstständige (E-Learning)

zum Kurs

Interne Konflikte durch den russischen Angriffskrieg

Viele russischsprachige Gruppen operieren – oder operierten – auch außerhalb Russlands, zum Beispiel von Kasachstan oder der Ukraine aus. "Sie konnten manchmal ihren Ort zu ihrem Vorteil nutzen, weil es in einigen Gebieten leichter ist, mit den Behörden zusammenzuarbeiten oder sie zu bestechen" , sagt Yarochkin.

Das jedoch änderte sich zumindest für die Ukraine mit dem Beginn des russischen Angriffskriegs, denn während ein Teil der Cyberkriminellen auf der Seite Russlands stand, sympathisierten andere mit der Ukraine. Die internen Konflikte in den Gruppen wuchsen. Das führte zum Beispiel zur Aufspaltung der Conti-Bande, die sehr erfolgreich Ransomware-as-a-Service vertrieben hatte.

Das BKA verzeichnet seit 2022 eine zunehmende Zahl von DDoS-Kampagnen pro-russischer Hacktivisten gegen kritische Infrastrukturen, Behörden und politische Institutionen. Die Grenzen zwischen finanzieller und politischer Motivation verschwimmen dabei zusehends.

Einen Erfolg erzielten die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und das BKA im Juli 2025, als sie in einer internationalen Polizeiaktion ein aus mehreren Hundert Servern bestehendes Botnetz der pro-russischen Hacktivistengruppe NoName057(16) abschalteten. Es war für DDoS-Angriffe unter anderem auf deutsche Regierungsbehörden und Unternehmen der Kritischen Infrastruktur verwendet worden .

Angriffe werden gewagter

NoName057(16) bot seinen mutmaßlich über 4.000 Unterstützern eine DDoSia-Software zum Download an, mit der sie sich mit ihren eigenen Ressourcen an DDoS-Attacken beteiligen konnten. Der russische Angriffskrieg hat nach Einschätzung der Experten auch Angriffe auf deutsche Unternehmen erleichtert, denn das Risiko der Strafverfolgung in Russland ist dadurch gesunken.

"Seit Beginn der Aggression gegen die Ukraine werden die Aktionen gewagter. Daher sieht man ein massives Wachstum an Ransomware-Gruppen. Wenn sie westliche Ziele ins Visier nehmen, deckt sich das mit dem staatlichen Interesse" , sagt Yarochkin.

Bild 1/2: Fyodor Yarochkin, Co-Autor des Forschungsberichts über den russischsprachigen Cyberuntergrund und Principal Threat Researcher bei Trend Micro (Bild: Trend Micro).

Bild 2/2: Ein Beispiel für die Regeln des Engagements im Procrd-Forum: Einige Regeln gelten allgemein in der Cyberkriminalitätslandschaft, während andere spezifisch für diese Community sind. (Bild: Trend Micro).

Laut der aktuellen Bitkom-Studie Wirtschaftsschutz 2025 (PDF)(öffnet im neuen Fenster) entsteht der deutschen Wirtschaft durch Cyberattacken ein jährlicher Schaden von 202 Milliarden Euro. Der russische Anteil daran ist schwer einzuschätzen, da die Angreifer und deren Herkunft oft nicht eindeutig zu ermitteln sind.

Auch die westlichen Sanktionen gegen Russland hatten einen Effekt auf dessen Cyberunterwelt. Denn besonders der russische Mittelstand bekam Probleme, Waren zu importieren und internationale Geldtransfers zu tätigen. Daher nutzt er nun auch kriminelle Kanäle zur Beschaffung und für Finanztransaktionen, um seinen Geschäftsbetrieb aufrechtzuerhalten.