Ende April 2022 war der Blog der Ransomware-Bande REvil plötzlich
wieder im Darknet aufrufbar. Zuvor war die Seite über Monate verschwunden, nachdem im November 2021
mehrere Personen verhaftet wurden, die der Mitgliedschaft in der berüchtigten Hacker-Gruppierung bezichtigt werden. Mit dem Comeback folgte die Veröffentlichung von weiteren gestohlenen Daten. Die ersten Opfer: Der indische Milliardenkonzern Oil India, die kalifornische Privatuniversität Standford und das deutsche Unternehmen Visotec.
Gegenüber inside-it.ch sagte der französische Sicherheitsforscher Soufiane Tahiri vergangene Woche, dass es noch keine gesicherten Beweise dafür gäbe, dass es sich bei der neu aufgetauchten Leak-Seite auch wirklich um das Werk von ehemaligen REvil-Mitgliedern handelt. Verschiedene Cybersecurity-Experten wollen nun aber herausgefunden haben, dass eben doch Teile der alten Bande wieder am Werk sind.
Die Indizien
Gemäss der amerikanischen Security-Newssite 'Bleeping Computer' begann die alte Tor-Infrastruktur der Cyberkriminellen kurz nach dem Einmarsch von Russland in die Ukraine wieder zu funktionieren. Anstatt aber die alte Website zu zeigen, wurden die Besuchenden auf eine andere URL umgeleitet, auf der die Aktivitäten einer nicht genannten Ransomware-Bande gelistet wurden.
Diese Seite sah der alten Version allerdings nicht sehr ähnlich, aber allein die Tatsache, dass die alte Infrastruktur auf eine neue Seite umleitet, deutete schon darauf hin, dass REvil wahrscheinlich wieder aktiv ist. Laut dem IT-Magazin bestand die einzige Möglichkeit zu Identifizierung der Schadsoftware darin, eine Probe des Codes zu finden und zu analysieren. Dadurch sollte festgestellt werden, ob die aktuelle Schadsoftware gepatcht wurde oder direkt aus dem Quellcode kompiliert wurde, was wiederum ein REvil-Comeback bestätigen würde.
Die Beweise
Wie 'Bleeping Computer' weiter schreibt, sei es dem Avast-Sicherheitsforscher Jakub Kroustek gelungen, eine solche Probe zu isolieren. Obwohl REvil seine Ransomware auch as-a-Service anbot, wurden bei solchen Angriffen stets gepatchte ausführbare Dateien verwendet, die keinen direkten Zugriff auf den Quellcode der Bande erlauben.
Anders soll es jedoch bei den neusten Sicherheitsvorfällen ausgesehen haben: Auch weitere Security-Spezialisten und Malware-Analysten teilten mit, die Ransomware, die für die neusten Angriffe verwendet wurde, sei aus dem Quellcode kompiliert worden und enthalte auch Änderungen, die man bis anhin noch nicht kannte.
So auch ein Sicherheitsforscher, der folgenden Tweet absetzte:
Er schreibt in seinem Beitrag, dass zwar die Versionsnummer des REvil-Beispiels auf 1.0 geändert wurde, dass es sich dabei aber eigentlich um eine Fortsetzung der allerletzten Version 2.08 von vor der Verhaftungsaktion handelt. Im Gespräch mit 'Bleeping Computer' sagte der Forscher, dass er der Meinung sei, "dass der Bedrohungsakteur über den Quellcode verfügt". Gemäss ihm sei der Code auch nicht gepatcht.
Ebenso hat Vitali Kremez, CEO von Advanced Intel, die REvil-Probe analysiert und bestätigt im Bericht, dass diese direkt aus dem Quellcode kompiliert und nicht gepatcht wurde. Zusätzlich wird auch davon berichtet, dass die neuen Lösegeldforderungen mit früheren REvil-Forderungen übereinstimmen.
Gestützt auf Gerüchte geht 'Bleeping Computer' davon aus, dass es sich bei dem aktuellen Bedrohungsakteur um einen der Hauptentwickler der Ransomware handelt, da dieser auch Zugang zum vollständigen REvil-Quellcode und möglicherweise auch zu den privaten Tor-Schlüsseln für die alten Websites hatte. Eine Vermutung, die bereits Soufiane Tahiri gegenüber inside-it.ch geäussert hatte.