Die ukrainische Polizei hat in Lwiw drei Personen im Alter von 19, 21 und 22 Jahren festgenommen, die zwischen Oktober 2025 und Januar 2026 über 610.000 Roblox-Konten gehackt haben sollen. Berichten zufolge verkauften sie diese Konten für insgesamt etwa 225.000 $. Die Festnahmen erfolgten nach zehn Durchsuchungen an den Zielorten, bei denen die Behörden 35.000 $ Bargeld sowie 37 Mobiltelefone, 11 Desktop-Computer, sieben Laptops, fünf Tablets und vier USB-Sticks beschlagnahmten.

Die Operation wurde gemeinsam von den Staatsanwälten der Region Lwiw, der Cyberpolizei und dem Sicherheitsdienst der Ukraine durchgeführt.

Wie der Plan zum Diebstahl von Roblox-Konten funktionierte

(Quelle: gp.gov.ua)

Die als Anführer der Gruppe identifizierte 19-Jährige rekrutierte die anderen beiden Mitglieder über Spiel-Foren und koordinierte die Operation. Die Gruppe verbreitete versteckte Infostealer-Malware als Spielentwicklungswerkzeug. Die Opfer, die dieses Tool herunterluden, hatten ihre Roblox-Anmeldedaten, die dann an die Angreifer gesendet wurden, preisgegeben.

Die gestohlenen Konten wurden nach ihrem Wert anhand von Faktoren wie Seltenheit des Inventars, Robux-Beständen und dem Vorhandensein einer begrenzten Anzahl von Gegenständen, die auf normalem Weg nicht mehr erhältlich sind, eingestuft. Die Gruppe klassifizierte mindestens 357 der 610.000 erbeuteten Konten als hochpreisig.

Diese Konten wurden über eine russische Website und geschlossene Online-Communities verkauft.

Der tatsächliche Geldwert von Roblox-Konten und mögliche Strafen

Roblox-Konten haben durch verschiedene Faktoren wie Robux-Bestände, nicht mehr erhältliche seltene, limitierte Gegenstände, jahrelangen Spielfortschritt, Freischaltungen, Erfolge und den Zugang zu Premium-Inhalten einen Wert. Die Plattform ermöglicht es den Kontoinhabern zudem, über Roblox Studio Vermögenswerte zu erstellen und zu verkaufen, was den Handelswert der etablierten Konten erhöht.

Die drei Verdächtigen sehen sich gemäß Artikel 185 des ukrainischen Strafgesetzbuchs wegen Diebstahls und gemäß Artikel 361 wegen unbefugtem Zugriff auf IT-Systeme vor Gericht. Beide Anklagen können mit bis zu 15 Jahren Haft bestraft werden. Die Ermittlungen dauern an, und die Behörden setzen ihre Bemühungen fort, weitere Komplizen und Opfer der Gruppe zu identifizieren.