Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, der Schweiz, der Ukraine und dem Vereinigten Königreich gegen Akteure der Ransomware-Gruppierung „Black Basta“ vorgegangen. Dabei wurden die Wohnräume von zwei Beschuldigten in der Ukraine durchsucht und Beweismittel gesichert. Gegen den mutmaßlichen Kopf der Ransomware-Gruppierung wird durch ZIT und BKA öffentlich mit Haftbefehl gefahndet.
Bei „Black Basta“ handelt es sich um eine der aktivsten Ransomware-Gruppierungen der letzten Jahre. Zu ihrem Zielspektrum gehören überwiegend Unternehmen westlicher Industrienationen. Unter Einsatz der gleichnamigen Schadsoftware und weiterer Malware kompromittierte „Black Basta“ Computernetzwerke, stahl sensible Daten, verschlüsselte die Systeme und erpresste Lösegelder für deren Entschlüsselung.
Im Zeitraum von März 2022 bis Februar 2025 war die Gruppierung für die Erpressung von mehr als 100 Unternehmen und Institutionen im Bundesgebiet sowie ca. 600 weiteren geschädigten Organisationen weltweit verantwortlich. Durch ihre illegalen Aktivitäten erlangte sie Geldbeträge im dreistelligen Millionenbereich, davon alleine in Deutschland mehr als 20 Millionen Euro. Zu den Opfern zählen überwiegend Unternehmen, aber auch Krankenhäuser, öffentliche Einrichtungen und Behörden.
Gegen die beschuldigten Akteure der Ransomware-Gruppierung „Black Basta“ besteht u.a. der Verdacht der Bildung einer kriminellen Vereinigung sowie der gewerbs- und bandenmäßigen Erpressung und Computersabotage.
Die Durchsuchungen in der Ukraine richteten sich gegen mutmaßliche Mitglieder der Ransomware-Gruppierung mit ukrainischer Staatsangehörigkeit, denen sogenanntes Hash-Cracking vorgeworfen wird. Hash-Cracking bezeichnet den Prozess, bei dem ein gesuchtes Passwort durch systematisches Berechnen eines erbeuteten Hash-Wertes bestimmt wird. Über die erlangten Zugangsdaten können sich Angreifer über Account- und Systemgrenzen hinweg im Netzwerk des Opfers ausbreiten. Ziel ist es, Zugänge zu möglichst vielen relevanten Systemen und sensiblen Daten zu erhalten, um darauf die Ransomware ausführen zu können. Die Maßnahmen gegen diese Beschuldigten sind von der ukrainischen Cyberpolizei, Teil der Nationalpolizei der Ukraine und der ukrainische Generalstaatsanwaltschaft (Office of the Prosecut-or General of Ukraine) in den ukrainischen Verwaltungsregionen Iwano-Frankiwsk und Lwiw umgesetzt worden. Dabei wurden die Wohnräume der Beschuldigten durchsucht und Beweismittel gesichert.
Im Zuge der Ermittlungen wurde auch der mutmaßliche Rädelsführer der Tätergruppierung identifiziert. Gegen diesen, einen russischen Staatsbürger, haben ZIT und BKA einen Haftbefehl erwirkt. Ihm wird vorgeworfen, die Gruppierung „Black Basta“ gegründet und geleitet zu haben. Zuvor war er mutmaßlich bereits als Geschäftspartner der Ransomware-Gruppierung „Conti“ tätig. ZIT und BKA fahnden öffentlich auch mit Unterstützung von Europol und Interpol. Lichtbilder und Beschreibungen zu der gesuchten Person können über folgenden Link auf der BKA-Webseite abgerufen werden:www.bka.de/oeffentlichkeitsfahndung69
Die Internationalen Fahndungen von Europol und Interpol sind hier abrufbar:https://eumostwanted.eu
Bei den aktuellen Maßnahmen der deutschen und ukrainischen Behörden handelt es sich um die Fortsetzung einer andauernden Kooperation. Bereits Ende August 2025 hatten ukrainische Beamte auf Ersuchen von ZIT und BKA die Wohnräume eines weiteren Mitglieds der Gruppierung in der Nähe von Charkiw durchsucht, Beweismittel gesichert und den Beschuldigten zum Tatvorwurf vernommen. Dieser steht im Verdacht, als sogenannter Crypter dafür gesorgt zu haben, dass die eingesetzte Schadsoftware von Antivirenprogrammen nicht als solche erkannt wurde.
Den Maßnahmen vorangegangen waren gemeinsame, international koordinierte Ermittlungen der Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – des Bundeskriminalamtes (BKA), des Schweizer Bundesamts für Polizei (fedpol), der Schweizer Bundesanwaltschaft (BA), der niederländischen National High Tech Crime Unit (NHTCU) und der britischen South East Regional Organised Crime Unit (SEROCU) sowie eigenständige Ermittlungen der ukrainischen Nationalpolizei in Kiew und Charkiw und der ukrainischen Generalstaatsanwaltschaft.
