REvil: Ransomware-Group-Websites plötzlich offline

Ein Ransomware-Angriff auf das Unternehmen Kaseya wurde REvil zugeschrieben, einer mutmaßlich in Russland ansässigen Hackergruppe, die bereits mit mehreren anderen großen Sicherheitsverletzungen in Verbindung gebracht wurde.

Der Angriff auf Kaseya, der am 02.07.21 begann, traf eine Reihe von Unternehmen und Organisationen, darunter Schwedens größte Supermarktkette Coop und Schulen in Neuseeland. Um sich Zugang zu den Opfern zu verschaffen, nutzten die Hacker einen Fehler in der IT-Management-Software von Kaseya aus.

Im Juni erklärte das FBI, dass REvil hinter dem massiven Cyberangriff steckte, der den Betrieb von JBS, dem weltgrößten Fleischlieferanten, lahmlegte. Obwohl JBS nach eigenen Angaben in der Lage war, die Kontrolle über seine Computersysteme wiederzuerlangen, zahlte es ein Lösegeld in Höhe von 11 Millionen US-Dollar, um „alle unvorhergesehenen Probleme im Zusammenhang mit dem Angriff zu mildern und sicherzustellen, dass keine Daten exfiltriert wurden.“

Was ist REvil?
Der Name REvil ist eine Mischung aus „Ransomware“ und „evil“ (böse), sagt Satnam Narang, ein Staff Research Engineer bei der Sicherheitsfirma Tenable. Die Gruppe ist auch unter dem Namen Sodinokibi bekannt, und Sicherheitsforscher haben die Malware-Familie der Organisation, die Daten verschlüsselt oder verwürfelt, bereits REvil/Sodinokibi oder REvil.Sodinokibi genannt.

Sicherheitsforscher haben die Schöpfer der REvil/Sodinokibi-Malware mit den Autoren der GandCrab-Ransomware in Verbindung gebracht, die erstmals 2018 bemerkt wurde. Hacker, die mit GandCrab in Verbindung stehen, hatten es auf Unternehmen im Gesundheitswesen abgesehen, darunter der Anbieter von Abrechnungen für medizinische Dienstleistungen Doctor’s Management Service.

Im Jahr 2019 erklärten die Mitglieder dieser GandCrab, dass sie sich zurückziehen würden und prahlten damit, nach nur einem Jahr 2 Milliarden US-Dollar an Lösegeldzahlungen gesammelt zu haben. Ein Jahr später gab das Innenministerium von Weißrussland bekannt, dass es einen Hacker mit Verbindungen zu GandCrab verhaftet habe.

Tony Cook, Ransomware-Verhandlungsführer und Leiter der Abteilung für Bedrohungsanalysen bei GuidePoint Security, sagte, dass REvil von GandCrab inspiriert zu sein scheint, da die beiden Gruppen ähnliche Tools und Hacking-Techniken verwenden. Allerdings ist es bei der Vielzahl ähnlicher Ransomware-Gruppen schwer zu bestimmen, welche Hackergruppe für bestimmte Angriffe verantwortlich ist.

Narang merkte an, dass die GandCrab-Gruppe in ihren letzten Tagen gezielt Managed Service Provider angriff, die IT-Systeme im Auftrag anderer Unternehmen betreiben. Dies lässt die Vermutung zu, dass ehemalige GandCrab-Mitglieder jetzt bei REvil sind.

Was macht REvil?
REvil agiert als ein Unternehmen, das Hacking-Technologie und andere Tools an Drittanbieter verkauft. REvil-Mitglieder haben im Dark Web, einem Teil des Internets, den Suchmaschinen wie Google nicht aufspüren, eine Online-Infrastruktur für andere Hacker geschaffen, um gestohlene Dokumente zu veröffentlichen und Ransomware-Zahlungen von Opfern zu kassieren, so Narang. Als Gegenleistung für die Nutzung der Dienste und Malware von REvil nimmt REvil, wie ähnliche Gruppen, einen Anteil von etwa 20 % aller Ransomware-Zahlungen, während die angeschlossenen Hacker die anderen 80 % behalten, fügte er hinzu.

Andere Hackergruppen, die ähnliche Ransomware-as-a-Service anbieten, sind Conti und Ryuk, so Narang.

Was will REvil?
Im Gegensatz zu nationalstaatlichen Hackern ist REvil rein finanziell motiviert, sagte Jack Cable, ein Sicherheitsarchitekt bei der Cybersecurity-Beratungsfirma Krebs Stamos Group.

Cable kontaktierte REvil über das Dark Web, um zu erfahren, ob die Gruppe ihm einen so genannten universellen Entschlüsselungsschlüssel verkaufen würde, der infizierte Computer entsperren und entschlüsseln würde. Er war überrascht, als die Gruppe ihm das Tool für 50 Millionen Dollar anstelle des ursprünglich geforderten Preises von 70 Millionen Dollar anbot, was ihn zu der Spekulation veranlasste, dass sie möglicherweise Probleme hat, Zahlungen zu erhalten.

Cable war auch überrascht, dass REvil bereit zu sein schien, Bitcoin als Zahlung zu akzeptieren, anstatt der Kryptowährung Monero, die als schwieriger zu verfolgen gilt.

Hacking-Gruppen, die finanziell motiviert sind, sagte er, können gefährlicher sein als nationalstaatliche Hacking-Gruppen, weil sie eher bereit sind, „Krankenhäuser stillzulegen“. Nationale Hackergruppen arbeiten nach „ungeschriebenen Regeln und Normen“, die typischerweise bedeuten, dass sie technische Hacks vermeiden, die Menschen töten könnten, wie das Herunterfahren eines Krankenhauses, erklärte er.

Was hat REvil noch gehackt?
Neben Kaseya und JBS wurde REvil mit hochkarätigen Ransomware-Angriffen in Verbindung gebracht, unter anderem gegen Quanta, ein taiwanesisches Unternehmen, das Rechenzentrumsausrüstung an Apple verkauft. REvil behauptete, dass es in der Lage war, sensible Daten von Apple zu stehlen, wie z. B. Computerdesigns, und forderte ein Lösegeld von 50 Millionen Dollar. Doch wie die Tech-Publikation MacRumors im April berichtete, hat REvil „auf mysteriöse Weise alle Hinweise auf den Erpressungsversuch aus seinem Dark-Web-Blog entfernt.“ Es ist unklar, ob Apple oder Quanta das Lösegeld bezahlt haben.

REvil nahm auch für sich in Anspruch, die New Yorker Anwaltskanzlei Grubman, Shire, Meiselas & Sacks gehackt zu haben und behauptete, an Dokumente über den ehemaligen Präsidenten Donald Trump gelangt zu sein. Einige Sicherheitsforscher vermuteten jedoch, dass die Gruppe bluffte, und die Trump-Administration stufte REvil als terroristische Gruppe ein.

https://tarnkappe.info/forum/t/warum-revil-ransomware-group-down-ging-eine-vermutung/8677