REvil
REvil, auch bekannt unter dem Namen Sodinokibi, war eine Gruppe von Black Hat Hackern, die sich auf die Entwicklung von Ransomware spezialisiert hatte. Sie bot „Ransomware as a Service“ an. Zur Vermarktung verwendete die Gruppe eine Art Affiliate-Programm, bei dem Dritte ihre Malwareprogramme für kriminelle Zwecke benutzen durfen. Von den erpressten Geldern erhielt REvil dann einen Anteil.[1][2]
Die Gruppe schrieb unter anderem auch einen Trojaner namens Sodinokibi, dessen Version Sodinokibi.N für eine Ransomware-Attacke im Juli 2021 benutzt wurde. Des Weiteren entwickelte sie die Erpressungssoftware GandCrab weiter.
Hintergrund
REvil war ab dem Jahr 2019 aktiv und wurde anscheinend gegründet, nachdem die Urheber von GandCrab das Ende ihrer Aktivitäten angekündigt hatten. Angeblich wechselten damals auch einige GandCrab-Entwickler zu REvil.[3] Wie die Entwickler von GandCrab mied die REvil-Gruppe russischsprachige Länder. Der Trojaner fragte Spracheinstellungen infizierter Rechners ab und befiel diese nicht, wenn das russische Sprachpaket installiert war.
Der verwendete Programmcode, der teils identisch ist, sowie die ähnliche Struktur der Lösegeldforderungen deutete auf einen Bezug zur Hackergruppe DarkSide hin. REvil wurde als Ableger von DarkSide vermutet oder beide Gruppen kooperieren.[4][5]
Nach Ermittlungen in den USA, Russland, Südkorea und in der Europäischen Union wurden im November 2021 zwölf Verdächtigte in Bezug zu Aktivitäten der REvil-Gruppe angeklagt. Der Ukrainer Jaroslaw Vasinskij wurde im Oktober 2021 in Polen verhaftet. Zwei Verhaftungen gab es in Rumänien und drei in Südkorea.[6]
Aktivitäten
- März 2021: Mehrere Medien berichteten, dass bei dem taiwanischen Hardware- und Halbleiterhersteller Asus das interne Verwaltungsnetzwerk des Unternehmens mit einem Trojanischen Pferd infiziert wurde. In der Folge wurden zahlreiche Dateien verschlüsselt. Laut Medienberichten verlangten die Täter demnach 50 Millionen Dollar für die Entschlüsselung. Die verwendete Software soll von REvil stammen.[7]
- Juli 2021: Direkt nach einer großangelegten Ransomwareattacke auf VSA-Server wurde die Gruppe REvil von IT-Sicherheitsexperten und Politikern als der hauptverdächtige Drahtzieher bezeichnet. Ein Bekennerschreiben mit einer Forderung über 70 Million US-Dollar folgte drei Tage später.
In Deutschland waren unter anderem das Staatstheater Stuttgart, mehrere mittelständische Unternehmen und Krankenhäuser durch REvil erpresst worden.[8]
Entschlüsselung und Ermittlungen
Im September 2021 ist es Bitdefender über eine Strafverfolgungsbehörde gelungen einen kostenlosen Decryptor zu veröffentlichen. Alle Verschlüsselungs-Opfer vor dem 13. Juli 2021 können Ihre Daten nun wieder entschlüsseln.[9]
Im Oktober 2021 gelang es internationalen Ermittlern, die Infrastruktur von REvil zu hacken und deren Webseiten abzuschalten.[10]
Im Jahr 2021 ermittelte das Landeskriminalamt Baden-Württemberg (LKA BW) einen russischen Staatsbürger, der nach Ansicht des LKA BW zweifelsfrei der Kerngruppe von REvil angehöre. Dieser führe einen Telegram-Account, der mit einer Bitcoin-Adresse verknüpft sei, auf die insgesamt 400.000 Euro eingezahlt wurden, die aus den Erpressungen stammen.[11][12]
In einer internationalen Aktion, genannt GoldDust, verschiedener Polizei- und Sicherheitsbehörden gelang es, einige Affiliates festzunehmen. Es wurden dabei 6,1 Millionen Dollar in Form von Kryptowährung beschlagnahmt. Zwei der Täter wurden in Rumänien verhaftet. Allerdings gelang es nicht, die Hintermänner zu fassen, die in Russland vermutet wurden. Daher hatte das Außenministerium der Vereinigten Staaten 10 Millionen Dollar ausgelobt für Hinweise, die zu den Tätern führen.[13]
Zerschlagung
Laut der Nachrichtenagentur Interfax wurde REvil Mitte Januar 2022 in einer gemeinsamen Aktion von FSB und russischer Polizei zerschlagen. Vorausgegangen war ein Ersuchen von Behörden der Vereinigten Staaten. Bei der Aktion wurden vierzehn mutmaßliche Mitglieder von REvil festgenommen und große Bargeldmengen in Rubel, Dollar und Euro beschlagnahmt. Interfax zufolge soll es nicht zu Auslieferungen an die USA kommen.[14]
Einzelnachweise
- Dennis Schirrmacher: Verschlüsselungstrojaner REvil hat es nun auf virtuelle Maschinen abgesehen. In: heise online, 29. Juni 2021.
- Dennis Schirrmacher: Erpressungstrojaner: Maze hört wohl auf, REvil macht 100 Millionen US-Dollar. In: heise online, 29. Oktober 2020.
- John Fokker, Christiaan Beek: Analyzing Affiliate Structures in Ransomware-as-a-Service Campaigns. In: mcafee.com, 2. Oktober 2021 (englisch).
- DarkSide Ransomware Links to REvil Group Difficult to Dismiss. In: flashpoint-intel.com, 11. Mai 2021 (englisch).
- Dennis Schirrmacher: Erpressungstrojaner GandCrab geht offenbar in Rente. In: heise online, 3. Juni 2019.
- Thomson Reuters: US Charges Ukrainian and Russian in Major Ransomware Spree, Seizes $6 Million. In: gadgets.ndtv.com, 9. November 2021.
- Patrick Beuth: Computerhersteller Acer wird offenbar um Rekordsumme erpresst. In: Spiegel, 22. März 2021.
- Ransomware: Deutsche Ermittler enttarnen mutmaßlichen »REvil«-Hintermann. In: Der Spiegel. 28. Oktober 2021, ISSN 2195-1349 (spiegel.de [abgerufen am 28. Oktober 2021]).
- Europol REvil RANSOMWARE DECRYPTION TOOL In: nomoreransom.org, 17. September 2021 (englisch).
- Joseph Menn, Christopher Bing: EXCLUSIVE Governments turn tables on ransomware gang REvil by pushing it offline. In: Reuters. 21. Oktober 2021 (reuters.com [abgerufen am 28. Oktober 2021]).
- Mutmaßlicher Ransomware-Millionär identifiziert. 28. Oktober 2021, abgerufen am 28. Oktober 2021.
- Der Bitcoin-Erpresser mit der teuren Uhr. In: zeit.de. Abgerufen am 28. Oktober 2021.
- Kai Biermann: Internationale Operation GoldDust gegen Cybererpresser. Bei Razzien haben Ermittler in Rumänien, Polen, den USA und Südkorea Cybererpresser festgenommen. Sie beschlagnahmten 6,1 Million Dollar Lösegeld. In: Zeit Online. Zeit Online GmbH, 8. November 2021, abgerufen am 8. November 2021.
- Erpresserorganisation »REvil«: Russland nimmt 14 mutmaßliche Mitglieder von berüchtigter Cybercrime-Gang fest. In: Spiegel Online. Der Spiegel GmbH & Co. KG, 14. Januar 2022, abgerufen am 14. Januar 2022.