Karlsruhe, Stuttgart, 30.03.2026

Gemeinsame Pressemitteilung des Cybercrime-Zentrums und des Landeskriminalamtes Baden-Württemberg

Weiterer Erfolg im Kampf gegen die organisierte Cyberkriminalität: Mutmaßlicher Kopf und mutmaßlicher Programmierer der Ransomware-Gruppen „GandCrab“ und „REvil“ identifiziert – weltweite Öffentlichkeitsfahndung eingeleitet

Wie berichtet, ist es dem bei der Generalstaatsanwaltschaft Karlsruhe eingerichteten Cyber-crime-Zentrum (CCZ) und dem Landeskriminalamt Baden-Württemberg (LKA) gelungen, den mutmaßlichen Kopf der Ransomware-Gruppierungen „GandCrab“ und „REvil“ (auch „Sodinokibi“ genannt) sowie den mutmaßlichen Programmierer der von diesen Hackern genutzten Schadsoftwaren zu identifizieren und Haftbefehle gegen beide Beschuldigten zu erwirken. Die beiden Gesuchten stehen unter anderem im dringenden Verdacht, für den Angriff auf die Württembergischen Staatstheater Stuttgart im Jahr 2019 mitverantwortlich zu sein.

Die Ransomware-Gruppe „GandCrab“ war in den Jahren 2018 und 2019 aktiv. Es besteht der Ver-dacht, dass mehrere Mitglieder der Organisation, darunter die beiden vom CCZ und LKA gesuchten Beschuldigten, noch im Jahr 2019 die Ransomware-Gruppe „REvil“ gründeten und ihre An-griffe jedenfalls bis einschließlich Juli 2021 fortsetzten.

Bei „GandCrab“ und „REvil“ handelte es sich um ein sogenanntes Ransomware-as-a-Service-Modell, bei dem die Beteiligten arbeitsteilig vorgingen, indem die Angreifer (sogenannte Affiliates) in die IT-Netzwerke der Geschädigten eindrangen, im Falle der Ransomware-Gruppe „REvil“ auch sensible Daten exfiltrierten und anschließend die Computersysteme von Unternehmen und öffentlichen Einrichtungen mithilfe der durch die „GandCrab“ bzw. „REvil“-Gruppierung zur Verfügung gestellten Software verschlüsselten. Die Gruppierungen gingen dabei höchst professionell vor und forderten für die Entschlüsselung und Nichtveröffentlichung der Daten hohe Lösegelder.

Der mutmaßliche Kopf der Gruppierung steht im Verdacht, die Produkte „GandCrab“ und „REvil“ beworben und Affiliates angeworben zu haben. Er soll zudem die Abwicklung der Lösegeldtransaktionen organisiert haben. Dem mutmaßlichen Programmierer wird zur Last gelegt, die von der Gruppierung genutzte Darknetseite zur Organisation und Verwaltung von Erpressungen sowie die Schadsoftware entwickelt und fortentwickelt zu haben.

Nach der akribischen Auswertung unzähliger Datensätze, so etwa von Kryptowährungstransaktionen, sowie dem damit einhergehenden ständigen Austausch und der Zusammenarbeit mit Partnerbehörden in Europa und Nordamerika konnten die beiden mutmaßlichen Hauptdrahtzieher der beiden Ransomware-Gruppierungen identifiziert und der Erlass von nationalen und europäischen Haftbefehlen erwirkt werden.

Bereits am 30.01.2026 war es dem bei der Generalstaatsanwaltschaft Karlsruhe eingerichteten Cybercrime-Zentrum Baden-Württemberg (CCZ) gelungen, die Verurteilung des mutmaßlichen Erpressers (Affiliate) der württembergischen Staatstheater und von weiteren 21 deutschen Unternehmen zu einer Gesamtfreiheitsstrafe von 7 Jahren durch das Landgericht Stuttgart zu erwirken.

Die weiteren nun geplanten Maßnahmen zur Festnahme der Beschuldigten werden international eng koordiniert.

Die öffentliche Fahndung nach den Beschuldigten wurde im Fahndungsportal des Bundeskriminalamtes (Shchukin: www.bka.de/oeffentlichkeitsfahndung75 / Kravchuk: www.bka.de/oeffent-lichkeitsfahndung76) sowie des Landeskriminalamts Baden-Württemberg eingestellt (Shchukin: https://fahndung.polizei-bw.de/tracing/1062026 / Kravchuk: https://fahndung.polizei-bw.de/tracing/1102026).

Hinweise können an das E-Mail-Postfach STUTTGART.LKA.HINWEISE@polizei.bwl.de gerichtet werden.

Zudem wurden die beiden Beschuldigten auf die EU-Most-Wanted-Liste gesetzt (https://eumostwanted.eu/#/shchukin-daniil-maksimovich / https://eumostwanted.eu/#/krav-chuk-anatoly-sergeevitsch).

Ergänzend werden die Pressemitteilungen vom 10.10.2024 und vom 27.01.2025 in Bezug genommen.

Presseauskünfte:
Generalstaatsanwaltschaft Karlsruhe / Cybercrime-Zentrum Baden-Württemberg
Pressestelle
Oberstaatsanwalt Mirko Heim
E-Mail: pressestelle@genstakarlsruhe.justiz.bwl.de
Telefon: 0721 926-9750

Landeskriminalamt Baden-Württemberg
Pressesprecher
Jürgen Glodek
E-Mail: pressestelle-lka@polizei.bwl.de
Telefon: 0711 5401-2044