Sind die berüchtigten REvil-Hacker zurück?

27. April 2022, 10:37
image
Foto: Ember Navarro / Unplash

Trotz Verhaftungswelle: Die Leak-Seite der Ransomware-Bande ist wieder online und vermeldet angebliche neue Opfer. Ein Sicherheitsforscher schätzt das Comeback ein.

Mit einem Knall meldet sich eine totgeglaubte Ransomware-Bande zurück: Seit einigen Tagen ist die Leak-Seite von REvil im Darkweb wieder online und vermeldet mit Oil India gleich ein prominentes, milliardenschweres Opfer. Zuvor war die Seite über Monate verschwunden, nachdem im Oktober und November 2021 in Europa mehrere Personen verhaftet wurden, die beschuldigt werden, Mitglieder der Hacker-Gruppe zu sein.
Auch im Kanton Basel-Land wurde eine Person verhaftet. Eine weitere Person, die in Polen festgenommen wurde, wurde inzwischen an die US-Justizbehörden überstellt. Dem Ukrainer wird vorgeworfen, an der verheerenden Supply-Chain-Attacke auf Kaseya beteiligt gewesen zu sein. Ihm drohen bis zu 115 Jahre Haft.
Doch die grosse Verhaftungswelle durch Europol und andere Behörden scheint die Bande nicht zerschlagen zu haben, obwohl diese im letzten Herbst verkündeten, REvil vom Netz genommen zu haben. Als einer der ersten machte der französische Sicherheitsforscher Soufiane Tahiri auf das Comeback aufmerksam. Er habe eine Notiz zum Oil-India-Angriff bekommen, die den Link zu einem neuen Blog im Darkweb enthielt, sagt Tahiri gegenüber inside-it.ch.

Auch Stanford University angebliches neues Opfer

Dort finden sich einerseits die Bekanntgaben von vergangenen REvil-Attacken, andererseits wurden neben Oil India mit der Stratford University und dem deutschen Unternehmen Visotec bereits zwei weitere neue Opfer publiziert. Auch erste Screenshots von angeblich entwendeten Daten wurden veröffentlicht.
Es gebe aber derzeit keine sicheren Hinweise darauf, dass es sich wirklich um ehemalige REvil-Mitglieder handelt, erklärt Tahiri. "Einige Cyberkriminelle, die der Bande Alphv/BlackCat nahestehen, glauben, dass ein ehemaliger REvil-Core-Dev (0_neday) hinter dem erneuten Auftauchen der Gruppe steckt und versucht, die Gruppe mit neuen Mitgliedern wiederzubeleben, aber auch das sind im Moment nur Spekulationen."

"Jemand hat Zugang zum alten REvil-Server"

"Sicher ist, dass wir in der Vergangenheit bereits Gruppen gesehen haben, die REvil imitieren, indem sie entweder die Ransomware selbst verändern oder den Lösegeldhinweis kopieren, um aufgrund des Bekanntheitsgrades der Bande ein bisschen mehr Angst zu verbreiten", so der Security-Experte. Weiter sei klar, dass jemand mit dieser neuen Gruppe verbunden sei, der Zugang zum echten Server von REvil hat, wo der alte "Happy Blog" gehostet wurde. Die Person habe diesen auf die neue Seite umgeleitet.
Tahiri hat auch einen Vertreter der sehr aktiven Ransomware-Bande Lockbit kontaktiert. Dieser sei "fest davon überzeugt", dass hinter dem Comeback Betrüger stecken würden. "Aber es ist wie in jedem anderen Geschäft auch: Eine neue Gruppe bedeutet mehr Konkurrenz." Deshalb wiegle Lockbit wohl ab.
Die Leak-Seite enthält auf Russisch die Konditionen für Partner, die angeblich eine verbesserte Version der REvil-Ransomware und eine 80/20-Aufteilung des Lösegelds erhalten. Gilt also der Slogan "Sie kommen immer zurück" auch für Ransomware-Banden? "Das hängt von den Franchisen ab", erklärt Tahiri. "Aber insgesamt würde ich sagen, dass es absolut zutrifft. Gruppen wie Clop, Conti oder Lockbit werden immer wieder auftauchen, solange das Geschäft lukrativ bleibt."

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Nachrichtendienst des Bundes erwartet mehr Cyberangriffe

Der NDB bezeichnet die beschleunigte Digitalisierung als Sicherheitsrisiko. Aufgrund des Krieges in der Ukraine müsse man auch in der Schweiz vermehrt mit Cyberattacken rechnen.

publiziert am 27.6.2022
image

Log4Shell wird weiter angegriffen

Weiterhin existieren Systeme, in denen die Sicherheitslücke nicht geschlossen wurde. Hacker wissen dies und nutzen es aus.

publiziert am 27.6.2022
image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022