Europol gab bekannt, dass sie im Verlauf des vergangenen Jahres insgesamt acht französische Staatsbürger festgenommen haben. Die Franzosen werden beschuldigt, in dem Hacker-Ring Rex Mundi involviert gewesen zu sein.

Die thailändische Polizei vollzog dabei die neuste Gefangennahme am 18. Mai 2018, welche einen französischen Haftbefehl zugrunde lag. Damit ging eine fast einjährige Operation zu Ende. Zum Hacker-Ring gehörten auch noch sieben weitere Bandenmitglieder, die allerdings bereits bis Oktober 2017 von der französischen Polizei gefasst werden konnten.

Rex Mundi (Lateinisch für „König der Welt“) machte sich einen Namen durch mehrere Hacker- und Erpressungskampagnen. Die Ziele waren meist europäische Unternehmen. Bereits im Jahr 2014 berichteten wir darüber, dass die Gang typischerweise in Unternehmensnetzwerke einbricht und diese nach sensiblen Informationen durchwühlt. Danach drohten sie, die Daten zu veröffentlichen, falls kein Lösegeld gezahlt werden würde. In mehreren Fällen setzten die Cyberkriminellen ihre Drohung in die Tat um.

Nach den Informationen von Bleeping Computer reichen die frühsten Hacker-Aktivitäten bis zurück zum Sommer 2012. Damals prahlte die cyberkriminelle Erspresserbande noch auf Twitter mit ihren Handlungen – später entschieden sie sich für ein unauffälligeres Profil.

Wie der Hacker-Ring Rex Mundi aufgelöst wurde

Im Mai 2017 drehten die Strafverfolgungsbehörden den Spieß um – kurz nachdem die Gang einen Diebstahl von Kundendaten einer nicht genannten britischen Firma für sich beanspruchte. Ein Bandenmitglied rief im Unternehmen an und unterbreitete die Lösegeldforderung von Rex Mundi. Die Firma sollte 580.000€ für die Geheimhaltung von erbeuteten Kundendaten zahlen oder insgesamt 825.000€, um auch das Einfallstor nicht zu veröffentlichen. Beide Beträge verlangte die Erpresserbande in Bitcoin. Jeder Tag, den das Unternehmen nicht zahlte, sollte mit zusätzlichen 210.000€ zu Buche schlagen.

Das Unternehmen verweigerte die Lösegeldzahlung und schaltete die UK Metropolitan Police ein. Diese sammelte alle relevanten Informationen und leitet sie an die französische Polizei und Europol weiter. „Innerhalb einer Stunde war Europols 24/7 Cyber Intelligence in der Lage die Informationen einem französischen Staatsbürger zuzuordnen.“ erklärte die Strafverfolgungsbehörde der Europäischen Union.

Die französische Polizei rückte aus und nahm insgesamt fünf Verdächtige im Juni 2017 gefangen und zwei weitere im Oktober. Der Hauptverdächtige gab zu an den jüngsten Erpressungsversuchen beteiligt gewesen zu sein, aber versicherte, dass der Hackerangriff auf das britische Unternehmen von einem aus dem Dark Net angeheuerten Hacker vollzogen wurde.