Anzeichen für REvil-Comeback verdichten sich

2. Mai 2022, 14:01
  • security
  • Revil
  • ransomware
  • cybercrime
  • international
image
Verhaftung eines REvil-Mitglieds im November 2021. Foto: Europol

Nachdem die Leak-Seite der Ransomware-Bande wieder online ist, scheinen weitere Beweise für die Rückkehr der Cyberkriminellen aufgetaucht zu sein.

Ende April 2022 war der Blog der Ransomware-Bande REvil plötzlich wieder im Darknet aufrufbar. Zuvor war die Seite über Monate verschwunden, nachdem im November 2021 mehrere Personen verhaftet wurden, die der Mitgliedschaft in der berüchtigten Hacker-Gruppierung bezichtigt werden. Mit dem Comeback folgte die Veröffentlichung von weiteren gestohlenen Daten. Die ersten Opfer: Der indische Milliardenkonzern Oil India, die kalifornische Privatuniversität Standford und das deutsche Unternehmen Visotec.
Gegenüber inside-it.ch sagte der französische Sicherheitsforscher Soufiane Tahiri vergangene Woche, dass es noch keine gesicherten Beweise dafür gäbe, dass es sich bei der neu aufgetauchten Leak-Seite auch wirklich um das Werk von ehemaligen REvil-Mitgliedern handelt. Verschiedene Cybersecurity-Experten wollen nun aber herausgefunden haben, dass eben doch Teile der alten Bande wieder am Werk sind.

Die Indizien

Gemäss der amerikanischen Security-Newssite 'Bleeping Computer' begann die alte Tor-Infrastruktur der Cyberkriminellen kurz nach dem Einmarsch von Russland in die Ukraine wieder zu funktionieren. Anstatt aber die alte Website zu zeigen, wurden die Besuchenden auf eine andere URL umgeleitet, auf der die Aktivitäten einer nicht genannten Ransomware-Bande gelistet wurden.
Diese Seite sah der alten Version allerdings nicht sehr ähnlich, aber allein die Tatsache, dass die alte Infrastruktur auf eine neue Seite umleitet, deutete schon darauf hin, dass REvil wahrscheinlich wieder aktiv ist. Laut dem IT-Magazin bestand die einzige Möglichkeit zu Identifizierung der Schadsoftware darin, eine Probe des Codes zu finden und zu analysieren. Dadurch sollte festgestellt werden, ob die aktuelle Schadsoftware gepatcht wurde oder direkt aus dem Quellcode kompiliert wurde, was wiederum ein REvil-Comeback bestätigen würde.

Die Beweise

Wie 'Bleeping Computer' weiter schreibt, sei es dem Avast-Sicherheitsforscher Jakub Kroustek gelungen, eine solche Probe zu isolieren. Obwohl REvil seine Ransomware auch as-a-Service anbot, wurden bei solchen Angriffen stets gepatchte ausführbare Dateien verwendet, die keinen direkten Zugriff auf den Quellcode der Bande erlauben.
Anders soll es jedoch bei den neusten Sicherheitsvorfällen ausgesehen haben: Auch weitere Security-Spezialisten und Malware-Analysten teilten mit, die Ransomware, die für die neusten Angriffe verwendet wurde, sei aus dem Quellcode kompiliert worden und enthalte auch Änderungen, die man bis anhin noch nicht kannte.
So auch ein Sicherheitsforscher, der folgenden Tweet absetzte:
Er schreibt in seinem Beitrag, dass zwar die Versionsnummer des REvil-Beispiels auf 1.0 geändert wurde, dass es sich dabei aber eigentlich um eine Fortsetzung der allerletzten Version 2.08 von vor der Verhaftungsaktion handelt. Im Gespräch mit 'Bleeping Computer' sagte der Forscher, dass er der Meinung sei, "dass der Bedrohungsakteur über den Quellcode verfügt". Gemäss ihm sei der Code auch nicht gepatcht.
Ebenso hat Vitali Kremez, CEO von Advanced Intel, die REvil-Probe analysiert und bestätigt im Bericht, dass diese direkt aus dem Quellcode kompiliert und nicht gepatcht wurde. Zusätzlich wird auch davon berichtet, dass die neuen Lösegeldforderungen mit früheren REvil-Forderungen übereinstimmen.
Gestützt auf Gerüchte geht 'Bleeping Computer' davon aus, dass es sich bei dem aktuellen Bedrohungsakteur um einen der Hauptentwickler der Ransomware handelt, da dieser auch Zugang zum vollständigen REvil-Quellcode und möglicherweise auch zu den privaten Tor-Schlüsseln für die alten Websites hatte. Eine Vermutung, die bereits Soufiane Tahiri gegenüber inside-it.ch geäussert hatte.


Loading

Mehr zum Thema

image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022
image

Whatsapp-Leck: Millionen Schweizer Handynummern landen im Netz

Durch einen Hack haben Unbekannte fast 500 Millionen Whatsapp-Telefonnummern ergaunert und verkaufen diese nun im Web. Auch Schweizer Userinnen und User sind davon betroffen.

publiziert am 25.11.2022 1
image

Nächste Untersuchung zum Microsoft-Activision-Deal

Nach der EU und Grossbritannien schaut sich wohl auch die ameri­ka­nische Federal Trade Commission die Milliardenübernahme des Spielestudios genauer an.

publiziert am 24.11.2022
image

Cyberkriminelle attackieren EU-Parlament

Die Website des EU-Parlaments wurde Ziel eines DDoS-Angriffes. Dahinter steckte angeblich eine kremlnahe Cyberbande.

publiziert am 24.11.2022