REvil

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

REvil, auch bekannt unter dem Namen Sodinokibi, ist eine Gruppe von Black Hat Hackern, die sich auf die Entwicklung von Ransomware spezialisiert hat. Sie bieten „Ransomware as a Service“ an. Zur Vermarktung verwendet die Gruppe eine Art Affiliate-Programm, bei dem Dritte ihre Malwareprogramme für kriminelle Zwecke benutzen dürfen. Von den erpressten Geldern erhält REvil dann einen Anteil.[1][2]

Die Gruppe schrieb unter anderem auch einen Trojaner namens Sodinokibi, dessen Version Sodinokibi.N für eine Ransomware-Attacke im Juli 2021 benutzt wurde. Des Weiteren entwickelte sie die Erpressungssoftware GandCrab weiter.

Hintergrund[Bearbeiten | Quelltext bearbeiten]

REvil ist seit dem Jahr 2019 aktiv und wurde anscheinend gegründet, nachdem die Urheber von GandCrab das Ende ihrer Aktivitäten ankündigten. Angeblich wechselten damals auch einige der GandCrab-Entwickler zu REvil, möglicherweise gründeten sie diese auch selbst als Nachfolgegruppe.[3] Sowohl der verwendete Programmcode, der teils identisch ist, als auch die sehr ähnliche Struktur der Lösegeldforderungen weisen darauf hin, dass ein Zusammenhang zur Hackergruppe DarkSide besteht. Möglicherweise ist REvil ein Ableger von DarkSide, oder die beiden Gruppen arbeiten als Partner zusammen.[4][5]

Es wird vermutet, dass REvil hauptsächlich von Russland aus operiert. Im Lauf der Zeit zeigte sich, dass die Opfer der Attacken vorwiegend außerhalb Russlands und der GUS-Staaten beheimatet waren.[6] Auch die Entwickler von GandCrab vermieden russischsprachige Länder. Der Trojaner fragt die Spracheinstellungen eines infizierten Rechners ab und führt seinen Payload nicht aus, wenn das entsprechende Sprachpaket installiert ist.

Aktivitäten[Bearbeiten | Quelltext bearbeiten]

  • März 2021: Mehrere Medien berichteten, dass bei dem taiwanischen Hardware- und Halbleiterhersteller Asus das interne Verwaltungsnetzwerk des Unternehmens mit einem Trojanischen Pferd infiziert wurde. In der Folge wurden zahlreiche Dateien verschlüsselt. Laut Medienberichten verlangten die Täter demnach 50 Millionen Dollar für die Entschlüsselung. Die verwendete Software soll von REvil stammen.[7]
  • Juli 2021: Direkt nach einer großangelegten Ransomwareattacke auf VSA-Server wurde die Gruppe REvil von IT-Sicherheitsexperten und Politikern als der hauptverdächtige Drahtzieher bezeichnet. Ein Bekennerschreiben mit einer Forderung über 70 Million US-Dollar folgte drei Tage später.

In Deutschland waren unter anderem das Staatstheater Stuttgart, mehrere mittelständische Unternehmen und Krankenhäuser durch REvil erpresst worden.[8]

Entschlüsselung und Ermittlung[Bearbeiten | Quelltext bearbeiten]

Im September 2021 ist es Bitdefender über eine Strafverfolgungsbehörde gelungen einen kostenlosen Decryptor zu veröffentlichen. Alle Verschlüsselungs-Opfer vor dem 13. Juli 2021 können Ihre Daten nun wieder entschlüsseln.[9]

Im Oktober 2021 gelang es internationalen Ermittlern, die Infrastruktur von REvil zu hacken und deren Websites abzuschalten.[10]

Im Jahr 2021 ermittelte das Landeskriminalamt Baden-Württemberg (LKA BW) einen russischen Staatsbürger, der nach Ansicht des LKA BW zweifelsfrei der Kerngruppe von REvil angehöre. Dieser führe einen Telegram-Account, der mit einer Bitcoin-Adresse verknüpft sei, auf die insgesamt 400.000 Euro eingezahlt wurden, die aus den Erpressungen stammen.[11][12]

In einer internationalen Aktion, genannt GoldDust, verschiedener Polizei- und Sicherheitsbehörden gelang es, einige Affilates festzunehmen. Es wurden dabei 6,1 Millionen Dollar in Form von Kryptowährung beschlagnahmt. Zwei der Täter wurden in Rumänien verhaftet. Allerdings gelang es nicht, die Hintermänner zu fassen, die in Russland vermutet werden. Daher hat das Aussenministerium der Vereinigten Staaten 10 Millionen Dollar ausgelobt für Hinweise, die zu den Tätern führen.[13]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Dennis Schirrmacher: Verschlüsselungstrojaner REvil hat es nun auf virtuelle Maschinen abgesehen. In: heise online, 29. Juni 2021.
  2. Dennis Schirrmacher: Erpressungstrojaner: Maze hört wohl auf, REvil macht 100 Millionen US-Dollar. In: heise online, 29. Oktober 2020.
  3. John Fokker, Christiaan Beek: Analyzing Affiliate Structures in Ransomware-as-a-Service Campaigns. In: mcafee.com, 2. Oktober 2021 (englisch).
  4. DarkSide Ransomware Links to REvil Group Difficult to Dismiss. In: flashpoint-intel.com, 11. Mai 2021 (englisch).
  5. Dennis Schirrmacher: Erpressungstrojaner GandCrab geht offenbar in Rente. In: heise online, 3. Juni 2019.
  6. Juha Saarinen: No let up on REvil ransomware-as-a-service attacks. In: itnews.com.au, 29. Januar 2020 (englisch).
  7. Patrick Beuth: Computerhersteller Acer wird offenbar um Rekordsumme erpresst. In: Spiegel, 22. März 2021.
  8. Ransomware: Deutsche Ermittler enttarnen mutmaßlichen »REvil«-Hintermann. In: Der Spiegel. 28. Oktober 2021, ISSN 2195-1349 (spiegel.de [abgerufen am 28. Oktober 2021]).
  9. Europol REvil RANSOMWARE DECRYPTION TOOL In: nomoreransom.org, 17. September 2021 (englisch).
  10. Joseph Menn, Christopher Bing: EXCLUSIVE Governments turn tables on ransomware gang REvil by pushing it offline. In: Reuters. 21. Oktober 2021 (reuters.com [abgerufen am 28. Oktober 2021]).
  11. Mutmaßlicher Ransomware-Millionär identifiziert. 28. Oktober 2021, abgerufen am 28. Oktober 2021.
  12. Der Bitcoin-Erpresser mit der teuren Uhr. In: zeit.de. Abgerufen am 28. Oktober 2021.
  13. Kai Biermann: Internationale Operation GoldDust gegen Cybererpresser. Bei Razzien haben Ermittler in Rumänien, Polen, den USA und Südkorea Cybererpresser festgenommen. Sie beschlagnahmten 6,1 Million Dollar Lösegeld. In: Zeit Online. Zeit Online GmbH, 8. November 2021, abgerufen am 8. November 2021.