REvil: Ransomware-Group-Websites plötzlich offline

Die Ransomware-Group REvil ist offline gegangen. Bisher sind die Gründe dafür noch ungeklärt. Das gibt Raum für Spekulationen.

Bildquelle: lighthouse

REvils Dark-Web-Seiten gingen am Dienstag ohne jede Erklärung offline. Demgemäß ist keine der Seiten mehr erreichbar, auf denen die Erpresser Kontakt zu ihren Opfern aufnahmen. Die Ransomware-Gang hätte allein in diesem Jahr bisher mehr als 360 US-Ziele gehackt. Satte 42 Prozent aller Ransomware-Angriffe der letzten Zeit würden auf REvil zurückzuführen sein.

Die Hackergruppe REvil soll ihren Sitz in Russland haben und wurde vom FBI mit dem Ransomware-Angriff im Mai auf JBS USA, dem größten Rindfleischproduzenten des Landes, in Verbindung gebracht. Von dem jüngsten Angriff Anfang Juli auf Kaseya waren bis zu 1.500 Unternehmen in 17 Ländern betroffen, darunter auch viele kleine Unternehmen, die deren IT-Infrastrukturdienste nutzen. Im Fall JBS soll REvil angeblich 11 Millionen US-Dollar an Lösegeld kassiert haben.

Lesen Sie auch

Ransomware Group ist aus dem Netz verschwunden – Gründe sind unklar

Bisher ist nicht klar, was dazu geführt hat, dass die Online-Präsenz der Ransomware-as-Service-Gruppe am vergangenen Dienstag ausgefallen ist. Site-Besucher werden mit der Meldung, „Der Server mit dem angegebenen Hostnamen konnte nicht gefunden werden“, begrüßt. Die Tatsache bietet allerdings Raum für Spekulationen darüber, was passiert sein könnte. Sean Gallagher, Bedrohungsforscher bei der Cybersicherheitsfirma Sophos mutmaßt:

„Es könnte sein, dass die Serverhardware ausgefallen ist oder absichtlich heruntergefahren wurde oder dass jemand ihren Host angegriffen hat“.

Präsident Joe Biden sagte dem russischen Präsidenten Wladimir Putin am Freitag, dass er Angriffe von in Russland ansässigen Gruppen eindämmen müsse. Er warnte zugleich davor, dass die USA das Recht hätte, ihre Bevölkerung und ihre kritische Infrastruktur vor Angriffen zu schützen. Der unerklärliche Exodus kommt nur einen Tag, bevor hochrangige Beamte des Weißen Hauses und Russlands zusammenkommen, um über die globale Ransomware-Krise zu diskutieren.

Spekulationen über den REvil-Shutdown

Immerhin gibt es einige mögliche Erklärungen dafür, was den Shutdown verursacht haben könnte. Zum einen könnte sich REvil möglicherweise selbst dazu entschieden haben, sich zurückzuziehen, sollten sie genügend Geld eingenommen oder aber gerade jetzt zu viel Druck verspürt haben. Des Weiteren könnte Mr. Biden das United States Cyber Command angewiesen haben, in Zusammenarbeit mit inländischen Strafverfolgungsbehörden, einschließlich des F.B.I., die Seiten der Gruppe erfolgreich offline zu nehmen. Oder die russische Regierung hat möglicherweise die Schließung veranlasst. Ihr Verschwinden könnte aber auch nur vorübergehend sein. Viele Cyberkriminelle geben vor, sich „zurückzuziehen“, bevor sie schließlich unter neuen Identitäten wieder auftauchen.

Ekram Ahmed, ein Sprecher von Check Point Software, gibt an:

„Wir empfehlen, keine voreiligen Schlüsse zu ziehen, da es noch früh ist, aber REvil ist in der Tat eine der rücksichtslosesten und kreativsten Ransomware-Gangs, die wir je gesehen haben.“

Allan Liska, leitender Analyst bei Recorded Future, erwägt, wenn REvil verschwunden sei, bezweifle er, dass es freiwillig war.

„Wenn überhaupt, sind diese Typen Angeber. Und wir haben keine Notizen gesehen, keine Angeberei. Es fühlt sich an, als hätten sie alles unter Druck aufgegeben.“

Grundlegende Sicherheitslücken öffnen Einfallstore für Hacker

Ransomware REvil Version 2.2 released

Die Ransomware REvil, auch bekannt unter Sodinokibi, trat laut Untersuchungen von McAfee Ende April 2019 zum ersten Mal in Erscheinung. Die Angreifer nutzten hier eine Sicherheitsanfälligkeit in Oracle WebLogic-Servern aus. Seither ist der Ransomware-Stamm mit dem koordinierten Angriff auf mehr als 23 texanische Gemeinden, 400 US-Zahnarztpraxen, den Managed Service Provider CyrusOne sowie den IT-Dienstleister für Zahnarztpraxen Complete Technology Solutions (CTS) verbunden.

REvil ist maximal konfigurierbar und ermöglicht es den Bedienern, das Verhalten auf dem infizierten Host anzupassen. Das Ransomware-as-a-Service (RaaS)-Angebot wird als Affiliate-Service betrieben. Die Affiliates verbreiten die Malware durch ständig neue Opfer und die REvil-Betreiber warten die Malware- und Zahlungsinfrastruktur. Partner erhalten 60% bis 70% der Lösegeldzahlung. REvil ist ein RaaS in dem Sinne, dass eine einzelne Gruppe die Entwicklung der Ransomware betreibt und verwaltet. Den Zugriff verkaufen sie an verbundene Unternehmen.

Tarnkappe.info

Antonia Frank

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.