Keine Ehre unter Dieben: REvil zockte Partner ab

23. September 2021, 12:37
  • cybercrime
  • security
  • international
image

Eine Backdoor hat es den Ransomware-als-Service-Anbietern ermöglicht, ihre Partner um deren Anteil zu prellen.

Eine neu entdeckte Hintertür und Chats könnten es den Betreibern der REvil-Ransomware ermöglicht haben, Lösegeldforderungen abzuzwacken und ihre Partner um deren Anteil zu prellen. Dies berichten mehrere auf Security spezialisierte Onlinemedien.
Das Ransomware-as-a-Service-Geschäftsmodell der REvil-Bande und auch anderen ist relativ simpel. Es umfasst zum einen die Entwickler, die die Ransomware-Malware herstellen und die Infrastruktur betreiben. Zweitens braucht es Partner, um die Systeme der Opfer einzudringen. Die Einnahmen werden geteilt, wobei letztere laut 'Bleeping Computer' in der Regel den deutlich grösseren Anteil erhalten.
Security-Forscher von Advintel haben laut einem Bericht von 'Threat-Post' nun eine Hintertür in der REvil-Ransomware gefunden. Diese könnte es der Bande ermöglicht haben, in die Aktivitäten ihrer Partner einzugreifen. Mittels des Schlupflochs sollen sie separat und unbemerkt Chats mit den Opfern eröffnet oder die Chats ihrer Partner gekapert haben. So habe sie den Anteil des Lösegelds, der eigentlich an ihre Partner gehen sollte, abgreifen können. Die Backdoor habe es den REvil-Betreibern auch ermöglicht, Geräte und Dateien der Opfer zu entschlüsseln.
Denkbar sei, dass die REvil-Leute die Backdoor benutzt haben, um die Lösegeldverhandlungen zu kapern, so ein Security-Forscher zu 'Threat Post'. Sie hätten ein Opfer imitieren können, das sich entschieden hat, die Verhandlung ohne Lösegeldzahlung abzubrechen, um dann selbst mit dem Opfer zu verhandeln. Es gebe aber keine direkten Beweise dafür, dass dies tatsächlich so passiert sei.
Im Juli gingen die Server von REvil überraschend offline. Seither sei die Ransomware überarbeitet worden und die Backdoor gelöscht, heisst es weiter. Dies könnte darauf hindeuten, dass die neuen Betreiber von REvil – sprich die As-a-Service-Anbieter – mit einer weissen Weste beginnen wollen, was den Ruf ihrer Unternehmung anbelange. In den einschlägigen Foren hätten Betreiber den Ruf einer geschwätzigen und ständig lügenden Gruppe gehabt, so Yelisey Boguslavskiy, Head of Research bei Advintel. Das habe das Vertrauen der potenziellen Partner aber auch der Mitglieder untergraben.
Wer auch immer nun die "neue" REvil-Ransomware als Service anbiete, habe die Backdoor wahrscheinlich auch entfernt, um zu verhindern, dass ehemalige Mitglieder diese ausnutzen können. Der wichtigste Grund aber sei wohl gewesen, "um die Entschlüsselung der Opfer durch Security-Teams zu verhindern", fügt Boguslavskiy an. Denn in der Untergrund-Community sei man sich sicher, dass Bitdefender über den entsprechenden Schlüssel verfüge. 

Loading

Mehr zum Thema

image

Cisco-Topmanager Todd Nightingale übernimmt bei Fastly

Der bisherige Chef des Enterprise-Networking- und Cloud-Business verlässt Cisco. Wer seine Nachfolge antritt, ist noch nicht bekannt.

publiziert am 4.8.2022
image

Microsoft liefert neue Daten an SOCs

Die Redmonder erweitern ihr Security-Portfolio und geben Unternehmen neue Einblicke in die Bedrohungslage, Cyber-Crime-Banden und deren Tools.

publiziert am 4.8.2022
image

Huawei schliesst Online-Shop in Russland

Der chinesische Konzern stellt seine Verkäufe via Internet in Russland ein, macht aber keine Angaben zu seinen weiteren Plänen.

publiziert am 4.8.2022
image

Bern ist weltweit der beste Ort für Tech-Karrieren – noch vor Zürich

In einem neuen City-Ranking der globalen Hotspots für ICT-Jobs liegen die beiden Schweizer Städte an der Spitze. In Zürich lässt sich nur knapp weniger verdienen als in San Francisco.

publiziert am 3.8.2022