REvil-Ransomware-Angriffe führten zu Verurteilung
REvil-Ransomware-Angriffe führten zu Verurteilung
Bildquelle: tanpanamanoob, Lizenz

REvil-Partner zu über 13 Jahre Gefängnis verurteilt

Ein Mitglied der REvil-Ransomware-Group wurde zu mehr als 13 Jahren Gefängnis verurteilt. Zudem muss er 16 Mio. USD Entschädigung zahlen.

Den Ukrainer Yaroslav Vasinskyi, ein Mitglied der REvil-Ransomware-Group, hat ein US-Gericht in Texas am Mittwoch zu 13 Jahren und sieben Monaten Gefängnis verurteilt. Weiterhin muss er 16 Millionen US-Dollar an Entschädigung zahlen.

Wie das Justizministerium mitteilte, war der 24-jährige Vasinskyi als REvil-Partner an der „Durchführung von über 2.500 Ransomware-Angriffen und der Forderung von Lösegeldzahlungen in Höhe von über 700 Millionen US-Dollar“ beteiligt.

FBI-Direktor Christopher Wray kommentiert das Urteil:

„Heute hat die enge Zusammenarbeit des FBI mit unseren weltweiten Partnern erneut dafür gesorgt, dass ein Cyberkrimineller, der glaubte, er sei außerhalb unserer Reichweite, mit den Konsequenzen seines Handelns konfrontiert wird. Wir werden Cyberkriminelle wie Vasinksyi weiterhin unerbittlich verfolgen, wo auch immer sie sich verstecken, während wir ihre kriminellen Machenschaften durchkreuzen, ihr Geld und ihre Infrastruktur beschlagnahmen und ihre Unterstützer und kriminellen Partner mit allen Mitteln des Gesetzes ins Visier nehmen.“

REvil-Mitglied auch beteiligt am Ransomware-Angriff auf Kaseya

Der Ukrainer Yaroslav Vasinskyi, im Netz auch bekannt als Mr Rabotnik, sah sich mit Vorwürfen konfrontiert, einen der schwersten Ransomware-Angriffe auf US-Ziele durchgeführt zu haben. Gemäß Justizministerium, stecke das REvil-Mitglied auch hinter dem Ransomware-Angriff auf Kaseya vom Juli 2021.

Kaseya geriet ins Visier der Group, weil sie IT-Lösungen für Managed Service Provider (MSPs) anboten und damit Unternehmen mit unzureichenden Ressourcen IT-Support boten. Schätzungen zufolge waren damit fast 2.000 Unternehmen in 17 Landkreisen von dem Angriff betroffen. REvil verlangte hier ein Lösegeld von rund 70 Millionen Euro.

Quelle StockCake.

Ransomware Sodinokibi/REvil sorgte für Verschlüsselung

Laut einer Anklage vom August 2021 griff der damals 22-jährige Vasinskyi auf die internen Computernetzwerke mehrerer Opferunternehmen zu. Zu seinen Zwecken setzte er die Ransomware Sodinokibi/REvil ein. Damit verschlüsselte er die Daten auf deren Computern und forderte anschließend Lösegeld.

Vasinskyi wirft man folglich „Verschwörung zur Begehung von Betrug und damit zusammenhängenden Aktivitäten im Zusammenhang mit Computern, Beschädigung geschützter Computer und Verschwörung zur Begehung von Geldwäsche“ vor.

Vasinskyi soll dabei elektronische Notizen in Form einer Textdatei auf den Computern der Opfer hinterlassen haben. Die Notizen enthielten eine Tor-Adresse sowie den Link zu einer öffentlich zugänglichen Webadresse, die die Opfer besuchen konnten, um, nach Begleichung einer Lösegeldforderung, ihre Dateien wiederherzustellen.

Wenn ein Opfer das geforderte Lösegeld nicht zahlte, veröffentlichte der Angeklagte gewöhnlich die gestohlenen Daten des Opfers oder verkaufte sie an Dritte. Die Opfer konnten in dem Fall dann allerdings auch weiterhin nicht auf ihre Daten zugreifen.

Ransomware-Group REvil erpresste Lösegelder in Millionenhöhe

Die Ransomware REvil, auch bekannt unter Sodinokibi, trat laut Untersuchungen von McAfee Ende April 2019 zum ersten Mal in Erscheinung. Die Angreifer nutzten hier eine Sicherheitsanfälligkeit in Oracle WebLogic-Servern aus. Seither ist der Ransomware-Stamm mit dem koordinierten Angriff auf zahlreiche Gemeinden, US-Zahnarztpraxen sowie Unternehmen verbunden. Neben dem Staatstheater waren auch in Deutschland noch mehrere mittelständische Unternehmen und zudem Krankenhäuser von den Erpressungen der Gruppe betroffen.

Die REvil-Group hat des Weiteren auch zahlreiche Angriffe auf große, globale Unternehmen verübt. Zu ihren Opfern zählten u. a. Acer im März letzten Jahres. Vom taiwanesischen Computerhersteller forderten die Hacker eine Lösegeldzahlung in Höhe von 50 Millionen US-Dollar. Ein weiteres Opfer war JBS SA, der weltweit größte Fleischproduzent. Dieser zahlte im Juni 11 Millionen US-Dollar an REvil.

Aber auch Schweden war betroffen. Hier mussten Hunderte von Supermärkten schließen, weil ihre Registrierkassen infolge des Ransomware-Angriffs nicht mehr funktionierten. Schulen und Kindergärten in Neuseeland waren gleichfalls unter den Opfern. Der im Mai durchgeführte Cyberangriff auf die Pipeline Colonial führte zu Engpässen bei der Benzinversorgung in Teilen der USA. Hier flossen 4,4 Millionen Dollar an Lösegeld.

Allerdings haben Ermittler den Großteil der Bitcoin-Lösegeldzahlung zurückerlangt. Immerhin 63,7 Bitcoin seien dabei wiederbeschafft worden. Ferner führten sie eine weitere Attacke auf das in Florida ansässige Softwareunternehmen Kaseya im Juli 2021. Dieser Hack gilt als größter Angriff mittels REvil-Ransomware.

REvil agierte als Franchise-Unternehmen

REvil vermietete seine Erpressersoftware allerdings auch an andere Kriminelle. Dafür kassierten sie dann Gebühren. Das Geschäftsmodell bezeichnet man als »Ransomware as a service«. Das Ransomware-as-a-Service (RaaS)-Angebot hat man als Affiliate-Service betrieben. Die Affiliates verbreiten die Malware weiter durch ständig neue Opfer und die REvil-Betreiber warten die Malware- und Zahlungsinfrastruktur.

Quelle Europol

Operation GoldDust führte zur Festnahme

Um die Bedrohung durch REvil zu bekämpfen, wurde im Mai 2021 ein gemeinsames Ermittlungsteam eingerichtet. Laut Europol haben polnische Behörden Anfang Oktober den Ukrainer Yaroslav Vasinskyi von der REvil-Ransomware-Group im Rahmen der weltweiten Operation GoldDust gegen Ransomware-Angriffe bei der Einreise nach Polen festgenommen. Zuvor hatten die Vereinigten Staaten einen internationalen Haftbefehl ausgestellt.

Anschließend haben US-Strafverfolgungsbehörden Vasinskyi nach Dallas überführt. Bei Vasinskyis Festnahme beschlagnahmten die Behörden ca. 6 Millionen US-Dollar an Lösegeldzahlungen. Zu den 11 Anklagepunkten bekannte er sich schuldig.

Inlandsgeheimdienst FSB sprengte übrige Hacker-Group

Das PR-Zentrum des FSB teilte am 14. Januar 2022 mit, Russland hätte auf Ersuchen der Vereinigten Staaten eine Spezialoperation gegen die Ransomware-Group REvil durchgeführt. Im Ergebnis hat der FSB in Zusammenarbeit mit der Ermittlungsabteilung des Innenministeriums Russlands und lokalen Behörden alle 14 verbleibenden Mitglieder der Gruppe festgenommen und angeklagt. In der Folge informierte der FSB, die „kriminelle Organisation existiert nicht mehr und ihre, für kriminelle Ziele genutzte Infrastruktur, ist neutralisiert“.

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.