Anzeichen für REvil-Comeback verdichten sich

2. Mai 2022 um 14:01
  • security
  • Revil
  • ransomware
  • cybercrime
  • international
image
Verhaftung eines REvil-Mitglieds im November 2021. Foto: Europol

Nachdem die Leak-Seite der Ransomware-Bande wieder online ist, scheinen weitere Beweise für die Rückkehr der Cyberkriminellen aufgetaucht zu sein.

Ende April 2022 war der Blog der Ransomware-Bande REvil plötzlich wieder im Darknet aufrufbar. Zuvor war die Seite über Monate verschwunden, nachdem im November 2021 mehrere Personen verhaftet wurden, die der Mitgliedschaft in der berüchtigten Hacker-Gruppierung bezichtigt werden. Mit dem Comeback folgte die Veröffentlichung von weiteren gestohlenen Daten. Die ersten Opfer: Der indische Milliardenkonzern Oil India, die kalifornische Privatuniversität Standford und das deutsche Unternehmen Visotec.
Gegenüber inside-it.ch sagte der französische Sicherheitsforscher Soufiane Tahiri vergangene Woche, dass es noch keine gesicherten Beweise dafür gäbe, dass es sich bei der neu aufgetauchten Leak-Seite auch wirklich um das Werk von ehemaligen REvil-Mitgliedern handelt. Verschiedene Cybersecurity-Experten wollen nun aber herausgefunden haben, dass eben doch Teile der alten Bande wieder am Werk sind.

Die Indizien

Gemäss der amerikanischen Security-Newssite 'Bleeping Computer' begann die alte Tor-Infrastruktur der Cyberkriminellen kurz nach dem Einmarsch von Russland in die Ukraine wieder zu funktionieren. Anstatt aber die alte Website zu zeigen, wurden die Besuchenden auf eine andere URL umgeleitet, auf der die Aktivitäten einer nicht genannten Ransomware-Bande gelistet wurden.
Diese Seite sah der alten Version allerdings nicht sehr ähnlich, aber allein die Tatsache, dass die alte Infrastruktur auf eine neue Seite umleitet, deutete schon darauf hin, dass REvil wahrscheinlich wieder aktiv ist. Laut dem IT-Magazin bestand die einzige Möglichkeit zu Identifizierung der Schadsoftware darin, eine Probe des Codes zu finden und zu analysieren. Dadurch sollte festgestellt werden, ob die aktuelle Schadsoftware gepatcht wurde oder direkt aus dem Quellcode kompiliert wurde, was wiederum ein REvil-Comeback bestätigen würde.

Die Beweise

Wie 'Bleeping Computer' weiter schreibt, sei es dem Avast-Sicherheitsforscher Jakub Kroustek gelungen, eine solche Probe zu isolieren. Obwohl REvil seine Ransomware auch as-a-Service anbot, wurden bei solchen Angriffen stets gepatchte ausführbare Dateien verwendet, die keinen direkten Zugriff auf den Quellcode der Bande erlauben.
Anders soll es jedoch bei den neusten Sicherheitsvorfällen ausgesehen haben: Auch weitere Security-Spezialisten und Malware-Analysten teilten mit, die Ransomware, die für die neusten Angriffe verwendet wurde, sei aus dem Quellcode kompiliert worden und enthalte auch Änderungen, die man bis anhin noch nicht kannte.
So auch ein Sicherheitsforscher, der folgenden Tweet absetzte:
Er schreibt in seinem Beitrag, dass zwar die Versionsnummer des REvil-Beispiels auf 1.0 geändert wurde, dass es sich dabei aber eigentlich um eine Fortsetzung der allerletzten Version 2.08 von vor der Verhaftungsaktion handelt. Im Gespräch mit 'Bleeping Computer' sagte der Forscher, dass er der Meinung sei, "dass der Bedrohungsakteur über den Quellcode verfügt". Gemäss ihm sei der Code auch nicht gepatcht.
Ebenso hat Vitali Kremez, CEO von Advanced Intel, die REvil-Probe analysiert und bestätigt im Bericht, dass diese direkt aus dem Quellcode kompiliert und nicht gepatcht wurde. Zusätzlich wird auch davon berichtet, dass die neuen Lösegeldforderungen mit früheren REvil-Forderungen übereinstimmen.
Gestützt auf Gerüchte geht 'Bleeping Computer' davon aus, dass es sich bei dem aktuellen Bedrohungsakteur um einen der Hauptentwickler der Ransomware handelt, da dieser auch Zugang zum vollständigen REvil-Quellcode und möglicherweise auch zu den privaten Tor-Schlüsseln für die alten Websites hatte. Eine Vermutung, die bereits Soufiane Tahiri gegenüber inside-it.ch geäussert hatte.


Loading

Mehr erfahren

Mehr zum Thema

image

Bund arbeitet für Cybersicherheit enger mit EU zusammen

Der Bundesrat genehmigt die Mitgliedschaft bei der European Cyber Security Organisation sowie die Mitwirkung an einem EU-Projekt für gemeinsame Cyberverteidigung.

publiziert am 21.8.2024
image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024