Im Oktober und November 2021 wurden in Europa mehrere Personen verhaftet, die beschuldigt werden, Mitglieder der Hacker-Gruppe REvil zu sein. Dazu gehörte eine Person, die in Polen festgenommen wurde: Yaroslav V. wurde nun an die US-Justizbehörden überstellt.

Der 22-jährige Ukrainer war laut dem Department of Justice (DoJ) auch an der Supply-Chain-Attacke auf Kaseya beteiligt. "Bei dem mutmasslichen Angriff auf Kaseya verantwortete V. die Bereitstellung von bösartigem Sodinokibi/REvil-Code in einem Kaseya-Produkt, was dazu führte, dass sich diese REvil-Ransomware in Kaseya-Kundennetzwerken übertragen konnte", heisst es in der englischsprachigen Anklageschrift des DoJ.

Laut den Behörden haben die Hacker 70 Millionen US-Dollar für die Entschlüsselung aller Kaseya-Kunden verlangt. US-Justizminister Merrick Garland sagte im November zu den Verhaftungen, zusätzlich zum Kasyea-Angriff sei bislang REvil-Ransomware bei Attacken in etwa 175'000 Geräte weltweit eingeschleust worden, mindestens 200 Millionen US-Dollar Lösegeld seien bei diesen Angriffen schon gezahlt worden.

Der Ukrainer sei langjähriges Mitglied der Bande und habe sich unter Pseudonymen wie Profcomserv, Rabotnik oder Yarik45 an Ransomware-Angriffen auf US-Unternehmen beteiligt. Ihm werden "Verschwörung zur Begehung von Betrug und verwandten Aktivitäten im Zusammenhang mit Computern", "Vorsätzliche Beschädigung geschützter Computer" und "Verschwörung zur Begehung von Geldwäsche" vorgeworfen. Bei einer Verurteilung in allen Anklagepunkten wird V. laut 'Bleeping Computer' zu insgesamt 115 Jahren Gefängnis verurteilt. Allerdings sei er nur ein Affiliate der Bande und habe mutmasslich nicht zum Kernteam gehört.

An der Verhaftungsaktion von Cyberkriminellen im Rahmen der Operation "Golddust" im Herbst 2021 waren auch Schweizer Behörden beteiligt. In Basel-Land wurde eine Person verhaftet, die laut Europol unter anderem am Ransomware-Angriff auf die systemkritische Norsk Hydro beteiligt gewesen sein soll. Der norwegische Aluminium-Hersteller musste 2019 nach der massiven Attacke die Produktion in mehreren Werken einstellen.

17 Länder waren neben der Schweiz in die Ermittlungen eingebunden, darunter ausser den USA auch Deutschland, Frankreich, Norwegen, die Niederlande, Schweden, Polen, Rumänien und Kanada. "All diese Festnahmen folgen den gemeinsamen Bemühungen der internationalen Strafverfolgungsbehörden zur Identifizierung, Abhörung und Beschlagnahme eines Teils der Infrastruktur, die von der Sodinokibi/REvil-Ransomware-Familie verwendet wird, die als Nachfolger von Gandcrab gilt", erklärte Europol.

Im Januar 2022 wurden auch in Russland mehrere Personen verhaftet, die zur REvil-Bande gehören sollen. Der russische Inlandsgeheimdienst (FSB) erklärte, bei einer Razzia seien mehr als 426 Millionen Rubel (rund 5 Millionen Franken), 500'000 Euro sowie 600'000 Dollar in bar, Krypto-Wallets, Computer und 20 hochwertige Autos beschlagnahmt worden.

Damals zeigten sich Security-Experten erstaunt, weil Russland bislang nicht für ein hartes Vorgehen gegen Cyberkriminelle bekannt war. Es wurde spekuliert, dies könnte eine Folge des Cybersecurity-Treffens zwischen den USA und Russland im Juli 2021 und des erhöhten Drucks von Seiten US-Präsident Joe Biden gewesen sein. Dieser mögliche Wandel des FSB-Vorgehens gegen Cyberkriminelle dürfte mit Beginn des Ukraine-Krieges allerdings wieder abgebrochen worden sein.