Ransomware REvil: Neue Taktiken sollen Druck auf Opfer erhöhen

Die Ransomware REvil-Erpresser wollen aktuell den Druck auf ihre Opfer er­hö­hen, indem sie den Angriff öffentlich machen.

Bildquelle: VISHNU_KV

Die Betreiber der Ransomware REvil planen, ihr Arsenal an Erpressungstaktiken zu erweitern. So will man bei Opfern, die sich möglicherweise weigern, auf ihre Lösegeldforderungen zur Datenentschlüsselung einzugehen, die Erpressung öffentlich machen. Um ihren Zahlungsaufforderungen zusätzlichen Nachdruck zu verleihen, drohen die Erpresser, sowohl Journalisten, als auch Geschäftspartner über ihren Angriff zu informieren. Das zusätzliche Starten von DDoS-Angriffen gegen die IT-Infrastruktur eines Unternehmens will man dazu nutzen, um Systemwiederherstellungsbemühungen zu verzögern, berichtet Bleeping Computer.

Ransomware REvil Version 2.2 released

Die Ransomware REvil, auch bekannt unter Sodinokibi, trat laut Untersuchungen von McAfee Ende April 2019 zum ersten Mal in Erscheinung. Die Angreifer nutzten hier eine Sicherheitsanfälligkeit in Oracle WebLogic-Servern aus. Seither ist der Ransomware-Stamm mit dem koordinierten Angriff auf mehr als 23 texanische Gemeinden, 400 US-Zahnarztpraxen, den Managed Service Provider CyrusOne sowie den IT-Dienstleister für Zahnarztpraxen Complete Technology Solutions (CTS) verbunden.

REvil ist maximal konfigurierbar und ermöglicht es den Bedienern, das Verhalten auf dem infizierten Host anzupassen. Das Ransomware-as-a-Service (RaaS)-Angebot wird als Affiliate-Service betrieben. Die Affiliates verbreiten die Malware durch ständig neue Opfer und die REvil-Betreiber warten die Malware- und Zahlungsinfrastruktur. Partner erhalten 60% bis 70% der Lösegeldzahlung. REvil ist ein RaaS in dem Sinne, dass eine einzelne Gruppe die Entwicklung der Ransomware betreibt und verwaltet. Den Zugriff verkaufen sie an verbundene Unternehmen.

REvil

Lesen Sie auch

Ransomware REvil-Erpresser informieren über neue Taktiken

Die neuen „Funktionen“ kündigte vergangene Woche Unknown, Hauptakteur bei der Werbung und Verkaufsförderung, an. Er tat dies in einem Beitrag in einem öffentlich zugänglichen Forum für russischsprachige Cyberkriminelle. Ein Sicherheitsforscher namens 3xp0rt machte infolge auf Twitter darauf aufmerksam. Die REvil-Bande hat diesen und andere Forenthreads genutzt, um anderen Cyberkriminellen ihren Dienst nahezubringen. Man tut die, in der Hoffnung, mit Gruppen zusammenarbeiten zu können, die auf die Verletzung von Unternehmensnetzwerken spezialisiert sind.

Ransomware REvil-Erpresser

Bereits im Februar veröffentlichte die Ransomware REvil Group eine Stellenanzeige, in der sie Personen für DDoS-Angriffe rekrutieren wollten. Zu den neuen Taktiken gehört außerdem ein kostenloser Dienst, bei dem die Bedrohungsakteure oder deren Partner VoIP-Anrufe mit Sprachverschlüsselung an die Medien und die Geschäftspartner des Opfers mit Informationen über den Angriff durchführen. Die Ransomware-Bande geht offenbar davon aus, dass die Offenlegung durch Anrufe bei Kunden und Partnern, von denen sich Daten auf den mit der Ransomware befallenen Computern befinden, einen weiteren Zahlungsdruck auf das Opfer erzeugen wird.

Tarnkappe.info

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.