Die Hacker-Gruppierung REvil veröffentlichte auf ihrem Blog zwei neue Opfer. Von der Erpressung betroffen ist die Visotec Group & Oil India.
Im November des Vorjahres beziehungsweise im Januar 2022 wurden in den USA und Russland diverse Mitglieder von REvil festgenommen. REvil war lange Zeit eine der produktivsten Ransomware-Gruppen überhaupt. Sie ließen sich von ihren Geschäftspartnern an deren erpressten Lösegeldern beteiligen. Ihre Schadsoftware galt lange Zeit als die beste der bestehenden Ransomware-as-a-Service-Anbieter (RaaS) überhaupt.
Guess who’s back? It’s REvil!
Das Geschäftsmodell ist einfach. REvil lieferte die Schadsoftware, ihre Partner beteiligten sie am Gewinn. Mit den Umsätzen kauften sie noch bessere Programmierbausätze ein. Ihre Ransomware war in den unterschiedlichsten Sparten unterwegs. Ihre und die Ziele ihrer Partner waren stets hochgradig potente Unternehmen, die sich die Zahlung hoher Lösegeldforderungen leisten können. Im Web bezeichnet man REvil auch als Sodinokibi oder unter dem Namen BlueCrab.
Ihre neuesten Opfer sind Oil India mit einem Jahresumsatz von drei Milliarden US-Dollar und die Visotec Group. Deren Jahresumsatz liegt bei 24 Millionen USD. Entgegen mancher Gerüchte dürfte es sich dabei um die ursprünglichen Macher von REvil handeln. Schließlich konnten sie ihre neuesten Meldungen unter der URL blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion/Blog auf dem eigenen Blog im Tor-Netzwerk veröffentlichen.
100 Millionen USD Jahresumsatz
Bodgan Botezatu von Bitdefender schätzt den Jahresumsatz von REvil auf etwa 100 Millionen US-Dollar. Bislang erreichte man damit im Untergrund einen Marktanteil von 16,5 Prozent. Seit den Verhaftungen im Herbst bzw. Winter waren die Umsätze naturgemäß rückläufig.
Wenn Oil India den Verhandlungsprozess nicht fortsetzt, werden sie mit der Veröffentlichung von internen Dokumenten, Verträgen, Kundeninformationen und Chats mit Unternehmensmitteilungen beginnen, schreiben sie auf ihrem Blog. Von der Visotec Group hat man bereits erste interne Dokumente ins Netz gestellt. Wahrscheinlich, um den Druck auf das Unternehmen zu erhöhen.
Erpresste Unternehmen stecken in einem Dilemma
Zahlen die Opfer nicht, müssen sie befürchten, dass REvil jede Menge sensibler Daten in Umlauf bringt und sie nie wieder Zugriff auf die verschlüsselten Festplatten erhalten werden. Zahlen sie doch, müssen sie befürchten, dass die Cyberkriminellen entgegen ihrer Ankündigung weitere Forderungen stellen, statt die blockierten Festplatten wieder freizugeben. Egal, wie sich die Unternehmen entscheiden. Es sieht fast so aus, als könnten sie dabei nicht gewinnen.