REvil
REvil
Bildquelle: tanpanamanoob@gmail.com

REvil: berüchtigte Ransomware-Group ist nach kurzer Pause zurück

Nachdem sie etwa zwei Monate offline waren, sind mehrere der Dark-Web-Server des berüchtigten Ransomware- Betreibers REvil wieder online.

Die russischsprachige Gruppe von Cyberkriminellen REvil hat vergangene Woche einen Teil ihrer Infrastruktur wieder online gebracht. Laut Cybersicherheitsexperten könnte dies ein Zeichen dafür sein, dass sie ihre Geschäfte fortsetzt. Die Ransomware-Gang hätte allein in diesem Jahr bisher mehr als 360 US-Ziele gehackt. Satte 42 Prozent aller Ransomware-Angriffe der letzten Zeit würden auf REvil zurückzuführen sein.

Die berüchtigte, kriminelle Ransomware-Group ist nach ihrem Untertauchen in diesem Sommer zurückgekehrt. REvil, kurz für Ransomware-Evil, gehört zu den produktivsten Cybercrime-Gangs, die für abgefishte Daten Lösegeld fordern.

REvil soll ihren Sitz in Russland haben und wurde vom FBI mit dem Ransomware-Angriff im Mai auf JBS USA, dem größten Rindfleischproduzenten des Landes, in Verbindung gebracht. Von dem jüngsten Angriff Anfang Juli auf Kaseya waren bis zu 1.500 Unternehmen in 17 Ländern betroffen, darunter auch viele kleine Unternehmen, die deren IT-Infrastrukturdienste nutzen. Im Fall JBS soll REvil angeblich 11 Millionen US-Dollar an Lösegeld kassiert haben.

REvil – nach kurzer Atempause offenbar wieder im Geschäft

REvil betreibt eine Website namens „Happy Blog“. Auf dieser sind Beispiele von gestohlenen Daten veröffentlicht, nachdem Unternehmen aus ihren eigenen Netzwerken ausgeschlossen werden. Die Angreifer versuchen dann, ihre Opfer zu erpressen. Diese sollen infolge für einen digitalen Schlüssel bezahlen, um ihren Netzwerkzugriff wiederherzustellen.

Laut Emsisoft-Sicherheitsforscher Bret Callow ist am vergangenen Dienstag auch ein Portal, das REvil verwendet, um mit Opfern zu verhandeln, wieder online gegangen. Obwohl die Cybergang keine neuen Daten von Opfern veröffentlicht hat, schiene es so, dass dieselben Akteure die Site wiederherstellten, bevor sie am 13. Juli ohne Erklärung offline ging.

Jake Williams, Chief Technology Officer bei BreachQuest spekuliert:

„In der Regel legen Gruppen eine Sommerpause ein, daher sehen wir normalerweise eine Verlangsamung. In diesem Jahr war es nicht anders, mit einer ernsthaften Sommerflaute bei finanziell motivierten Ransomware-Aktivitäten. Ich habe noch keinen nennenswerten Anstieg gesehen. Allerdings betreten wir jetzt das Fenster, in dem diese Angreifer aus dem Urlaub zurückkommen und wieder an die Arbeit gehen.“

Der Ransomware-Experte Allan Liska äußerte gegenüber ZDNet, dass die meisten Leute erwarteten, dass REvil zurückkehren würde, aber mit einem anderen Namen und einer neuen Ransomware-Variante.

„Für sie wurde es eine Zeit lang definitiv zu heiß, also mussten sie die Sache abkühlen lassen. Das Problem (für sie) ist, wenn es sich wirklich um dieselbe Gruppe handelt, die dieselbe Infrastruktur nutzt, haben sie sich nicht wirklich von den Strafverfolgungsbehörden oder Sicherheitsforschern distanziert. Das wird sie wieder ins Fadenkreuz von buchstäblich jeder Strafverfolgungsbehörde der Welt (außer der russischen) bringen.“

Tarnkappe.info

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.