REvil: LKA Baden-Württemberg enttarnt mutmaßlichen REvil-Drahtzieher

28.10.21 15:57 von Antonia Frank Lesezeit: 3 Min.

LKA-Ermittlern ist es aktuell gelungen, einen mutmaßlichen Ransomware-Erpresser, der hinter der REvil-Gruppe stecken soll, zu enttarnen.

Beamte des baden-württembergischen LKA haben ein mutmaßliches Kernmitglied der REvil-Ransomware-Gruppe identifiziert. Die Gruppe steckte hinter zahlreichen Ransomware-Erpressungen von Firmen und Behörden. Der Cyberkriminelle lebt in Russland. Eine Festnahme erscheint derzeit noch unwahrscheinlich. Davon berichteten der Bayerische Rundfunk (BR) und Zeit Online.

Sowohl LKA- als auch BKA-Ermittler sind dem Verdächtigen Nikolay K. (Name geändert) bereits seit dem Jahr 2019 auf der Spur. REvil startete damals noch seine Aktionen unter der Bezeichnung Gandcrab. Als solche hatten sie u.a. das Stuttgarter Staatstheater um 15.000 Euro erpresst. Nach einer Anzeige des für die angegriffenen Systeme verantwortlichen System-Administrators nahmen die Ermittlungen dann ihren Anfang. Das LKA gründete die Ermittlungsgruppe Krabbe.

REvil erpresste Lösegeld in Millionenhöhe

Neben dem Staatstheater waren in Deutschland noch mehrere mittelständische Unternehmen und auch Krankenhäuser von den Erpressungen der Gruppe betroffen. Erst Ende März machte REvil mit einer Lösegeld-Forderung an Acer über 50 Mio US-Dollar als größte Lösegeld-Forderung nach einem Cyberangriff, die je gestellt wurde, auf sich aufmerksam. Kurz danach, Anfang Juli, ist es still geworden um REvil. Deren Ransomware-Group-Website ging plötzlich offline. Bis dahin sagte man der Ransomware-Gang nach, sie hätte mehr als 360 US-Ziele gehackt. Satte 42 Prozent aller Ransomware-Angriffe der letzten Zeit würden auf REvil zurückzuführen sein.

Bereits Anfang September hieß es, dass die russischsprachige Gruppe von Cyberkriminellen REvil einen Teil ihrer Infrastruktur wieder online gebracht hat. Offensichtlich wollten sie nach der kurzen Pause ihre Geschäfte weiter fortführen. Allerdings berichtete Reuters Ende Oktober, dass die REvil-Site erneut offline wäre. Strafverfolgungsbehörden bekamen Zugriff auf deren Systeme. „Ironischerweise hat sich die bevorzugte Taktik der Bande, die Backups zu kompromittieren, gegen sie selbst gerichtet“, zitierte Reuters dabei einen Security-Experten.

Nikolay K. tritt in den sozialen Netzwerken als Händler von Kryptowährungen auf. Hier präsentiert er auch sein Motto „In Crypto we trust“. Auffällig wäre weiterhin sein prunkvoller Lebensstil. Auf Instagram ist er mit Luxusauto und teurer Uhr zu sehen. Er lebt in einem Haus mit Pool in der Nähe einer südrussischen Großstadt. Seine Urlaubsziele sind Dubai, die Malediven oder die türkische Mittelmeerküste. Eine von ihm gecharterte Yacht kostet 1.300 Euro pro Tag. Offenbar finanziert K. seinen Lebensstil durch Erpressergeld. Ermittlerkreise gaben bekannt, dass K. „zweifelsfrei“ der Kerngruppe von REvil angehören soll und damit auch bei jedem Hackerangriff mitverdiente.

REvil als Franchise-Unternehmen

REvil vermietet seine Erpressersoftware dabei auch an andere Kriminelle. Dafür kassiert sie dann Gebühren. Das Geschäftsmodell bezeichnet man als »Ransomware as a service«. Das Ransomware-as-a-Service (RaaS)-Angebot wird als Affiliate-Service betrieben. Die Affiliates verbreiten die Malware durch ständig neue Opfer und die REvil-Betreiber warten die Malware- und Zahlungsinfrastruktur. REvil ist maximal konfigurierbar und ermöglicht es den Bedienern, das Verhalten auf dem infizierten Host anzupassen. Partner erhalten 60% bis 70% der Lösegeldzahlung. REvil ist ein RaaS in dem Sinne, dass eine einzelne Gruppe die Entwicklung der Ransomware betreibt und verwaltet. Den Zugriff verkaufen sie an verbundene Unternehmen.

Fahnder folgten der Spur des Geldes

Offensichtlich sind die Beamten Nikolay K. durch eine Nachverfolgung von Bitcoin-Zahlungen auf die Spur gekommen. Gemäß Bericht konnten die Ermittler dabei einen Telegram-Account K.s mit Überweisungen von sechstelligen Geldbeträgen in Verbindung bringen, die aus Ransomware-Erpressungen stammten.

Andererseits fanden aber auch die Reporter des BR und von »Zeit Online« Anhaltspunkte dafür, dass der Verdächtige aus Ransomware-Fällen stammendes Geld erhalten haben soll. Für die Recherche gaben sie seinen Instagram-Usernamen in Suchmaschinen ein. Sie erhielten daraufhin eine E-Mailadresse, auf die mit teilweise identischen Kontaktinformationen, wie Handynummern, gleich über 60 Websites angemeldet waren. Für diese Informationen nutzten sie eine Datenbank der IT-Sicherheitsfirma Domaintools. Eine dieser Handynummern führte zu einem Telegram-Account, auf dem man mit Kryptowährungen handelt. Auf eine dort angegebene Bitcoin-Adresse sind Zahlungen im Wert von knapp 400.000 Euro eingegangen. Wie ein Experte infolge erklärt, würde es sich bei der Einzahlung um Geld handeln, das wahrscheinlich aus Ransomware-Vorfällen stamme.

Haftbefehl ist in Vorbereitung

Gemäß dem Bericht sei ein Haftbefehl gegen K. bereits vorbereitet. Allerdings ist eine Festnahme vorerst nicht in Aussicht, da der Verdächtige in Russland lebt. Eine Verhaftung kann erst dann erfolgen, sobald K. das Land verlässt und sich infolge in einem Land aufhält, das auch an Deutschland ausliefert.

Tarnkappe.info

crimemarket.is – kein Hack, sondern ein Bust

Beim Untergrund-Forum Crimemarket gibt es offenbar technische Probleme. Doch es sind auch bislang unbestätigte Bust-Gerüchte aufgetaucht.

Weedmarket.to – neues Cannabisforum eröffnet

Vor ein paar Tagen ging mit Weedmarket.to ein neues Forum für den Handel mit Cannabis & Co. ans Netz. Harte Drogen sind dort verboten.

Fidor Bank: Phishing-Seite FLDOR.BE zockt Kunden ab

Die Phishing-Seite FLDOR.BE zockt die Kunden der deutschen Fidor Bank ab. Die dabei verwendete Technik ist äußert raffiniert.

Groove: Ransomware-Gang ruft zum Kampf gegen die Vereinigten Staaten

Groove Ransomware-Gang ruft zum gemeinsamen Kampf gegen die USA. Einen Angriff wie kürzlich auf REvil möchte man sich nicht bieten lassen.

Crimezone.is möchte gerne den CrimeMarket beerben

Die Betreiber des neuen Untergrund-Forums Crimezone.is versuchen offenkundig von der CrimeMarket-Razzia Ende Februar zu profitieren.

Crimenow will Crimemarket beerben

Das neue Untergrund-Forum Crimenow sieht dem von der Polizei beschlagnahmten Crimemarket täuschend ähnlich. Was erwartet einen dort?

Nemesis Market beschlagnahmt: BKA schließt Darknet-Marktplatz

Das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt haben Nemesis Market geschlossen und Server beschlagnahmt.

Incognito Market: Admin erpresst Verkäufer und Nutzer

Aufruhr im Darknet. Der Admin vom Incognito Market droht allen Nutzern mit der Veröffentlichung ihrer Transaktions- und Nachrichtenhistorie.

Fraudware.net gaukelt Bust vor – Exit Scam

Die Betreiber vom illegalen Online-Shop fraudware.net haben offenbar die Gunst der Stunde genutzt und sich aus dem Staub gemacht.

Acer erneut gehackt – Desorden will 60 GB an Daten erbeutet haben

Acer erneut gehackt. Betroffen sind indische Kunden-, Unternehmens-, Konten- und Finanzdaten in einer Größenordnung von ca. 60 GB.

Payback-Punkte-Betrug führte zur Anklage

Im Darknet besorgten sich Betrüger Zugang zu gehackten Payback-Konten. Sie lösten die Punkte ein und bereicherten sich um ca. 91.000 Euro.

REvil: Ransomware-Group-Websites plötzlich offline

Die Ransomware-Group REvil ist offline gegangen. Bisher sind die Gründe dafür noch ungeklärt. Das gibt Raum für Spekulationen.

BreachForums – Domain abused, nur über Tor-Netzwerk erreichbar

Der populäre Online-Marktplatz für Hacker, BreachForums, hat kürzlich seine Domain eingebüßt. Außerdem hat man sie wohl gehackt.

Anonymer Hacker vor abstraktem digitalem Hintergrund

LockBit-Mitglied verurteilt: Vier Jahre Haft für Bandenmitglied

Mikhail Vasiliev, ein Mitglied der internationalen Ransomware-Gruppe LockBit, wurde in Kanada zu vier Jahren Haft verurteilt.

REvil Angriff: Geheimnisse von Stars bald öffentlich verfügbar?

Die Anwaltskanzlei Grubman Shire Meiselas & Sacks wurde Opfer einer REvil-Ransomware-Attacke. Hacker drohen Daten von Stars zu veröffentlichen

ALPHV/BlackCat Exit Scam: Ein Abgang mit Betrug und Chaos

Der Vorhang fällt für ALPHV/BlackCat: Ein Blick hinter die Kulissen des Exit-Scams dieser berüchtigten Ransomware-Bande.

BlackMatter: Ransomware-Entwickler werfen das Handtuch

Die Entwickler hinter der BlackMatter-RaaS (Ransomware-as-a-Service) gaben in einer Mitteilung bekannt, das Projekt ab sofort einzustellen.

Trojanisierte McAfee Security-App gefährdet Android-Nutzer

Vorsicht vor der Banking-Malware Vultur! Dieser als McAfee Security-App getarnte Trojaner hat es auf eure sensiblen Daten abgesehen.