Keine Ehre unter Dieben: REvil zockte Partner ab

23. September 2021, 12:37
  • cybercrime
  • security
  • international
image

Eine Backdoor hat es den Ransomware-als-Service-Anbietern ermöglicht, ihre Partner um deren Anteil zu prellen.

Eine neu entdeckte Hintertür und Chats könnten es den Betreibern der REvil-Ransomware ermöglicht haben, Lösegeldforderungen abzuzwacken und ihre Partner um deren Anteil zu prellen. Dies berichten mehrere auf Security spezialisierte Onlinemedien.
Das Ransomware-as-a-Service-Geschäftsmodell der REvil-Bande und auch anderen ist relativ simpel. Es umfasst zum einen die Entwickler, die die Ransomware-Malware herstellen und die Infrastruktur betreiben. Zweitens braucht es Partner, um die Systeme der Opfer einzudringen. Die Einnahmen werden geteilt, wobei letztere laut 'Bleeping Computer' in der Regel den deutlich grösseren Anteil erhalten.
Security-Forscher von Advintel haben laut einem Bericht von 'Threat-Post' nun eine Hintertür in der REvil-Ransomware gefunden. Diese könnte es der Bande ermöglicht haben, in die Aktivitäten ihrer Partner einzugreifen. Mittels des Schlupflochs sollen sie separat und unbemerkt Chats mit den Opfern eröffnet oder die Chats ihrer Partner gekapert haben. So habe sie den Anteil des Lösegelds, der eigentlich an ihre Partner gehen sollte, abgreifen können. Die Backdoor habe es den REvil-Betreibern auch ermöglicht, Geräte und Dateien der Opfer zu entschlüsseln.
Denkbar sei, dass die REvil-Leute die Backdoor benutzt haben, um die Lösegeldverhandlungen zu kapern, so ein Security-Forscher zu 'Threat Post'. Sie hätten ein Opfer imitieren können, das sich entschieden hat, die Verhandlung ohne Lösegeldzahlung abzubrechen, um dann selbst mit dem Opfer zu verhandeln. Es gebe aber keine direkten Beweise dafür, dass dies tatsächlich so passiert sei.
Im Juli gingen die Server von REvil überraschend offline. Seither sei die Ransomware überarbeitet worden und die Backdoor gelöscht, heisst es weiter. Dies könnte darauf hindeuten, dass die neuen Betreiber von REvil – sprich die As-a-Service-Anbieter – mit einer weissen Weste beginnen wollen, was den Ruf ihrer Unternehmung anbelange. In den einschlägigen Foren hätten Betreiber den Ruf einer geschwätzigen und ständig lügenden Gruppe gehabt, so Yelisey Boguslavskiy, Head of Research bei Advintel. Das habe das Vertrauen der potenziellen Partner aber auch der Mitglieder untergraben.
Wer auch immer nun die "neue" REvil-Ransomware als Service anbiete, habe die Backdoor wahrscheinlich auch entfernt, um zu verhindern, dass ehemalige Mitglieder diese ausnutzen können. Der wichtigste Grund aber sei wohl gewesen, "um die Entschlüsselung der Opfer durch Security-Teams zu verhindern", fügt Boguslavskiy an. Denn in der Untergrund-Community sei man sich sicher, dass Bitdefender über den entsprechenden Schlüssel verfüge. 

Loading

Mehr zum Thema

image

Nächste Untersuchung zum Microsoft-Activision-Deal

Nach der EU und Grossbritannien schaut sich wohl auch die ameri­ka­nische Federal Trade Commission die Milliardenübernahme des Spielestudios genauer an.

publiziert am 24.11.2022
image

Cyberkriminelle attackieren EU-Parlament

Die Website des EU-Parlaments wurde Ziel eines DDoS-Angriffes. Dahinter steckte angeblich eine kremlnahe Cyberbande.

publiziert am 24.11.2022
image

Studie: Jugendliche werden nachlässiger beim Datenschutz

Die Sorge, dass persönliche Informationen im Netz landen, hat bei Jugendlichen abgenommen. Aber erstens haben junge Menschen grössere Probleme im Netz und zweitens sind Erwachsene nicht besser.

publiziert am 24.11.2022 1
image

E-Dienstbüchlein kommt 2023, Cyber-Kommando 2024

Der Bundesrat hat die entsprechenden Gesetze und Verordnungen per Anfang 2023 in Kraft gesetzt.

publiziert am 23.11.2022