REvil-Hacker wegen Kaseya-Angriff an die USA ausgeliefert

11. März 2022, 11:51
image
Foto: Emiliano Bar / Unsplash

Ein in Polen verhafteter Ukrainer wurde an die US-Justizbehörden überstellt. Ihm wird vorgeworfen, am verheerenden Supply-Chain-Angriff auf Kaseya beteiligt gewesen zu sein.

Im Oktober und November 2021 wurden in Europa mehrere Personen verhaftet, die beschuldigt werden, Mitglieder der Hacker-Gruppe REvil zu sein. Dazu gehörte eine Person, die in Polen festgenommen wurde: Yaroslav V. wurde nun an die US-Justizbehörden überstellt.
Der 22-jährige Ukrainer war laut dem Department of Justice (DoJ) auch an der Supply-Chain-Attacke auf Kaseya beteiligt. "Bei dem mutmasslichen Angriff auf Kaseya verantwortete V. die Bereitstellung von bösartigem Sodinokibi/REvil-Code in einem Kaseya-Produkt, was dazu führte, dass sich diese REvil-Ransomware in Kaseya-Kundennetzwerken übertragen konnte", heisst es in der englischsprachigen Anklageschrift des DoJ.

Dem Hacker drohen 115 Jahre Haft

Laut den Behörden haben die Hacker 70 Millionen US-Dollar für die Entschlüsselung aller Kaseya-Kunden verlangt. US-Justizminister Merrick Garland sagte im November zu den Verhaftungen, zusätzlich zum Kasyea-Angriff sei bislang REvil-Ransomware bei Attacken in etwa 175'000 Geräte weltweit eingeschleust worden, mindestens 200 Millionen US-Dollar Lösegeld seien bei diesen Angriffen schon gezahlt worden.
Der Ukrainer sei langjähriges Mitglied der Bande und habe sich unter Pseudonymen wie Profcomserv, Rabotnik oder Yarik45 an Ransomware-Angriffen auf US-Unternehmen beteiligt. Ihm werden "Verschwörung zur Begehung von Betrug und verwandten Aktivitäten im Zusammenhang mit Computern", "Vorsätzliche Beschädigung geschützter Computer" und "Verschwörung zur Begehung von Geldwäsche" vorgeworfen. Bei einer Verurteilung in allen Anklagepunkten wird V. laut 'Bleeping Computer' zu insgesamt 115 Jahren Gefängnis verurteilt. Allerdings sei er nur ein Affiliate der Bande und habe mutmasslich nicht zum Kernteam gehört.

Auch ein Baselbieter soll zur Bande gehört haben

An der Verhaftungsaktion von Cyberkriminellen im Rahmen der Operation "Golddust" im Herbst 2021 waren auch Schweizer Behörden beteiligt. In Basel-Land wurde eine Person verhaftet, die laut Europol unter anderem am Ransomware-Angriff auf die systemkritische Norsk Hydro beteiligt gewesen sein soll. Der norwegische Aluminium-Hersteller musste 2019 nach der massiven Attacke die Produktion in mehreren Werken einstellen.
17 Länder waren neben der Schweiz in die Ermittlungen eingebunden, darunter ausser den USA auch Deutschland, Frankreich, Norwegen, die Niederlande, Schweden, Polen, Rumänien und Kanada. "All diese Festnahmen folgen den gemeinsamen Bemühungen der internationalen Strafverfolgungsbehörden zur Identifizierung, Abhörung und Beschlagnahme eines Teils der Infrastruktur, die von der Sodinokibi/REvil-Ransomware-Familie verwendet wird, die als Nachfolger von Gandcrab gilt", erklärte Europol.

Was passiert mit den verhafteten Russen?

Im Januar 2022 wurden auch in Russland mehrere Personen verhaftet, die zur REvil-Bande gehören sollen. Der russische Inlandsgeheimdienst (FSB) erklärte, bei einer Razzia seien mehr als 426 Millionen Rubel (rund 5 Millionen Franken), 500'000 Euro sowie 600'000 Dollar in bar, Krypto-Wallets, Computer und 20 hochwertige Autos beschlagnahmt worden.
Damals zeigten sich Security-Experten erstaunt, weil Russland bislang nicht für ein hartes Vorgehen gegen Cyberkriminelle bekannt war. Es wurde spekuliert, dies könnte eine Folge des Cybersecurity-Treffens zwischen den USA und Russland im Juli 2021 und des erhöhten Drucks von Seiten US-Präsident Joe Biden gewesen sein. Dieser mögliche Wandel des FSB-Vorgehens gegen Cyberkriminelle dürfte mit Beginn des Ukraine-Krieges allerdings wieder abgebrochen worden sein.

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Nachrichtendienst des Bundes erwartet mehr Cyberangriffe

Der NDB bezeichnet die beschleunigte Digitalisierung als Sicherheitsrisiko. Aufgrund des Krieges in der Ukraine müsse man auch in der Schweiz vermehrt mit Cyberattacken rechnen.

publiziert am 27.6.2022 1
image

Log4Shell wird weiter angegriffen

Weiterhin existieren Systeme, in denen die Sicherheitslücke nicht geschlossen wurde. Hacker wissen dies und nutzen es aus.

publiziert am 27.6.2022
image

Deepfakes von Vitali Klitschko sorgen für Aufregung

Mehrere europäische Politikerinnen und Politiker haben mit einem falschen Vitali Klitschko telefoniert. Manche haben die Deepfakes durchschaut, andere nicht.

publiziert am 27.6.2022