Sind die berüchtigten REvil-Hacker zurück?

27. April 2022, 10:37
image
Foto: Ember Navarro / Unplash

Trotz Verhaftungswelle: Die Leak-Seite der Ransomware-Bande ist wieder online und vermeldet angebliche neue Opfer. Ein Sicherheitsforscher schätzt das Comeback ein.

Mit einem Knall meldet sich eine totgeglaubte Ransomware-Bande zurück: Seit einigen Tagen ist die Leak-Seite von REvil im Darkweb wieder online und vermeldet mit Oil India gleich ein prominentes, milliardenschweres Opfer. Zuvor war die Seite über Monate verschwunden, nachdem im Oktober und November 2021 in Europa mehrere Personen verhaftet wurden, die beschuldigt werden, Mitglieder der Hacker-Gruppe zu sein.
Auch im Kanton Basel-Land wurde eine Person verhaftet. Eine weitere Person, die in Polen festgenommen wurde, wurde inzwischen an die US-Justizbehörden überstellt. Dem Ukrainer wird vorgeworfen, an der verheerenden Supply-Chain-Attacke auf Kaseya beteiligt gewesen zu sein. Ihm drohen bis zu 115 Jahre Haft.
Doch die grosse Verhaftungswelle durch Europol und andere Behörden scheint die Bande nicht zerschlagen zu haben, obwohl diese im letzten Herbst verkündeten, REvil vom Netz genommen zu haben. Als einer der ersten machte der französische Sicherheitsforscher Soufiane Tahiri auf das Comeback aufmerksam. Er habe eine Notiz zum Oil-India-Angriff bekommen, die den Link zu einem neuen Blog im Darkweb enthielt, sagt Tahiri gegenüber inside-it.ch.

Auch Stratford University angebliches neues Opfer

Dort finden sich einerseits die Bekanntgaben von vergangenen REvil-Attacken, andererseits wurden neben Oil India mit der Stratford University und dem deutschen Unternehmen Visotec bereits zwei weitere neue Opfer publiziert. Auch erste Screenshots von angeblich entwendeten Daten wurden veröffentlicht.
Es gebe aber derzeit keine sicheren Hinweise darauf, dass es sich wirklich um ehemalige REvil-Mitglieder handelt, erklärt Tahiri. "Einige Cyberkriminelle, die der Bande Alphv/BlackCat nahestehen, glauben, dass ein ehemaliger REvil-Core-Dev (0_neday) hinter dem erneuten Auftauchen der Gruppe steckt und versucht, die Gruppe mit neuen Mitgliedern wiederzubeleben, aber auch das sind im Moment nur Spekulationen."

"Jemand hat Zugang zum alten REvil-Server"

"Sicher ist, dass wir in der Vergangenheit bereits Gruppen gesehen haben, die REvil imitieren, indem sie entweder die Ransomware selbst verändern oder den Lösegeldhinweis kopieren, um aufgrund des Bekanntheitsgrades der Bande ein bisschen mehr Angst zu verbreiten", so der Security-Experte. Weiter sei klar, dass jemand mit dieser neuen Gruppe verbunden sei, der Zugang zum echten Server von REvil hat, wo der alte "Happy Blog" gehostet wurde. Die Person habe diesen auf die neue Seite umgeleitet.
Tahiri hat auch einen Vertreter der sehr aktiven Ransomware-Bande Lockbit kontaktiert. Dieser sei "fest davon überzeugt", dass hinter dem Comeback Betrüger stecken würden. "Aber es ist wie in jedem anderen Geschäft auch: Eine neue Gruppe bedeutet mehr Konkurrenz." Deshalb wiegle Lockbit wohl ab.
Die Leak-Seite enthält auf Russisch die Konditionen für Partner, die angeblich eine verbesserte Version der REvil-Ransomware und eine 80/20-Aufteilung des Lösegelds erhalten. Gilt also der Slogan "Sie kommen immer zurück" auch für Ransomware-Banden? "Das hängt von den Franchisen ab", erklärt Tahiri. "Aber insgesamt würde ich sagen, dass es absolut zutrifft. Gruppen wie Clop, Conti oder Lockbit werden immer wieder auftauchen, solange das Geschäft lukrativ bleibt."

Loading

Mehr zum Thema

image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

Google und Youtube investieren, um gegen Fake-News vorzugehen

Der US-Konzern schiesst knapp 13 Millionen Franken in einen Fonds ein, um Faktencheck-Organisationen weltweit zu unterstützen.

publiziert am 29.11.2022
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022
image

T-Systems will Belegschaft in Indien fast verdoppeln

Das Unternehmen ist eine Partnerschaft mit dem indischen IT-Riesen Tech Mahindra eingegangen. So will T-Systems sein Angebot an Digital- und Cloud-Services ausbauen.

publiziert am 29.11.2022