REvil

REvil, auch bekannt unter dem Namen Sodinokibi, ist eine Gruppe von Black-Hat-Hackern, die sich auf die Entwicklung von Ransomware spezialisiert hat. Sie bot „Ransomware as a Service“ an. Zur Vermarktung verwendete die Gruppe eine Art Affiliate-Programm, bei dem Dritte ihre Malwareprogramme für kriminelle Zwecke benutzen durften. Von den erpressten Geldern erhielt REvil dann einen Anteil.[1][2] Obwohl am Anfang 2022 geglaubt wurde, dass REvil nicht mehr aktiv sei, erschien im Juli 2022 ein Opfer auf ihrer Website.[3]

Die Gruppe schrieb unter anderem auch einen Trojaner namens Sodinokibi, dessen Version Sodinokibi.N für eine Ransomware-Attacke im Juli 2021 benutzt wurde. Des Weiteren entwickelte sie die Erpressungssoftware GandCrab weiter.

Hintergrund

REvil war ab dem Jahr 2019 aktiv und wurde anscheinend gegründet, nachdem die Urheber von GandCrab das Ende ihrer Aktivitäten angekündigt hatten. Angeblich wechselten damals auch einige GandCrab-Entwickler zu REvil.[4] Wie die Entwickler von GandCrab mied die REvil-Gruppe russischsprachige Länder. Der Trojaner fragte Spracheinstellungen infizierter Rechner ab und befiel diese nicht, wenn das russische Sprachpaket installiert war.

Der verwendete Programmcode, der teils identisch ist, sowie die ähnliche Struktur der Lösegeldforderungen deutete auf einen Bezug zur Hackergruppe DarkSide hin. REvil wurde als Ableger von DarkSide vermutet oder beide Gruppen kooperieren.[5][6]

Nach Ermittlungen in den USA, Russland, Südkorea und in der Europäischen Union wurden im November 2021 zwölf Verdächtigte in Bezug zu Aktivitäten der REvil-Gruppe angeklagt. Der Ukrainer Jaroslaw Vasinskij, der unter dem Pseudonym Rabotnik agierte, wurde im Oktober 2021 in Polen verhaftet. Nachdem er 2022 von dort an die USA ausgeliefert worden war, bekannte er sich vor einem texanischen Gericht schuldig und wurde 2024 zu insgesamt 13 Jahren und sieben Monaten Haft sowie zur Zahlung von mehr als 16 Millionen Dollar an Entschädigungen verurteilt.[7] Zwei weitere Verhaftungen gab es in Rumänien und drei in Südkorea.[8]

Aktivitäten

  • März 2021: Mehrere Medien berichteten, dass bei dem taiwanischen Hardware- und Halbleiterhersteller Asus das interne Verwaltungsnetzwerk des Unternehmens mit einem Trojanischen Pferd infiziert wurde. In der Folge wurden zahlreiche Dateien verschlüsselt. Laut Medienberichten verlangten die Täter demnach 50 Millionen Dollar für die Entschlüsselung. Die verwendete Software soll von REvil stammen.[9]
  • Juli 2021: Direkt nach einer großangelegten Ransomwareattacke auf VSA-Server wurde die Gruppe REvil von IT-Sicherheitsexperten und Politikern als der hauptverdächtige Drahtzieher bezeichnet. Ein Bekennerschreiben mit einer Forderung über 70 Millionen US-Dollar folgte drei Tage später.

In Deutschland waren unter anderem das Staatstheater Stuttgart, mehrere mittelständische Unternehmen und Krankenhäuser durch REvil erpresst worden.[10]

Entschlüsselung und Ermittlungen

Im September 2021 ist es Bitdefender über eine Strafverfolgungsbehörde gelungen einen kostenlosen Decryptor zu veröffentlichen. Alle Verschlüsselungs-Opfer vor dem 13. Juli 2021 können ihre Daten nun wieder entschlüsseln.[11]

Im Oktober 2021 gelang es internationalen Ermittlern, die Infrastruktur von REvil zu hacken und deren Webseiten abzuschalten.[12]

Im Jahr 2021 ermittelte das Landeskriminalamt Baden-Württemberg (LKA BW) einen russischen Staatsbürger, der nach Ansicht des LKA BW zweifelsfrei der Kerngruppe von REvil angehöre. Dieser führe einen Telegram-Account, der mit einer Bitcoin-Adresse verknüpft sei, auf die insgesamt 400.000 Euro eingezahlt wurden, die aus den Erpressungen stammen.[13][14]

In einer internationalen Aktion verschiedener Polizei- und Sicherheitsbehörden, genannt GoldDust, gelang es, einige Affiliates festzunehmen. Es wurden dabei 6,1 Millionen Dollar in Form von Kryptowährung beschlagnahmt. Zwei der Täter wurden in Rumänien verhaftet. Allerdings gelang es nicht, die Hintermänner zu fassen, die in Russland vermutet wurden. Daher hatte das Außenministerium der Vereinigten Staaten 10 Millionen Dollar ausgelobt für Hinweise, die zu den Tätern führen.[15]

Zerschlagung

Laut der Nachrichtenagentur Interfax wurde REvil Mitte Januar 2022 in einer gemeinsamen Aktion von FSB und russischer Polizei zerschlagen. Vorausgegangen war ein Ersuchen von Behörden der Vereinigten Staaten. Bei der Aktion wurden vierzehn mutmaßliche Mitglieder von REvil festgenommen und große Bargeldmengen in Rubel, Dollar und Euro beschlagnahmt. Interfax zufolge soll es nicht zu Auslieferungen an die USA kommen.[16]

Einzelnachweise

  1. Dennis Schirrmacher: Verschlüsselungstrojaner REvil hat es nun auf virtuelle Maschinen abgesehen. Mehrere Sicherheitsforscher warnen vor einer neuen REvil-Version, die noch mehr Geräte bedroht. In: heise online. 29. Juni 2021, abgerufen am 6. Mai 2024.
  2. Dennis Schirrmacher: Erpressungstrojaner: Maze hört wohl auf, REvil macht 100 Millionen US-Dollar. Ransomware ist nach wie vor die Cashcow der Malware-Szene. Die Drahtzieher bauen ihr "Geschäftsmodell" stetig aus und ernten damit Umsätze in Millionenhöhe. In: heise online. 29. Oktober 2020, abgerufen am 6. Mai 2024.
  3. Adrian Oberer: Ransomware-Report vom Juli: Lockbit am aktivsten - REvil taucht wieder auf. In: IT-Markt. 18. August 2022, abgerufen am 20. August 2022.
  4. John Fokker, Christiaan Beek: Analyzing Affiliate Structures in Ransomware-as-a-Service Campaigns. In: mcafee.com. 2. Oktober 2021, abgerufen am 6. Mai 2024 (englisch).
  5. DarkSide Ransomware Links to REvil Group Difficult to Dismiss. In: flashpoint-intel.com. 11. Mai 2021, abgerufen am 6. Mai 2024 (englisch).
  6. Dennis Schirrmacher: Erpressungstrojaner GandCrab geht offenbar in Rente. Die Malware-Entwickler von GandCrab haben das Ende der Kampagne bekannt gegeben. Eigenen Angaben zufolge haben sie pro Woche 2,5 Millionen US-Dollar verdient. In: heise online. 3. Juni 2019, abgerufen am 6. Mai 2024.
  7. Christian Wingeier: REvil-Hacker zu fast 14 Jahren Haft verurteilt In: www.inside-it.ch, 7. Mai 2024
  8. Thomson Reuters: US Charges Ukrainian and Russian in Major Ransomware Spree, Seizes $6 Million. An indictment accused Ukrainian Yaroslav Vasinskyi of breaking into Florida software provider Kaseya over the July 4 weekend. In: gadgets.ndtv.com. 9. November 2021, abgerufen am 6. Mai 2024 (englisch).
  9. Patrick Beuth: Computerhersteller Acer wird offenbar um Rekordsumme erpresst. In: Spiegel. 22. März 2021, abgerufen am 6. Mai 2024.
  10. Ransomware: Deutsche Ermittler enttarnen mutmaßlichen »REvil«-Hintermann. In: Der Spiegel. 28. Oktober 2021, ISSN 2195-1349 (spiegel.de [abgerufen am 28. Oktober 2021]).
  11. REvil RANSOMWARE DECRYPTION TOOL. (pdf) In: nomoreransom.org. Europol, 17. September 2021, abgerufen am 6. Mai 2024 (englisch).
  12. Joseph Menn, Christopher Bing: EXCLUSIVE Governments turn tables on ransomware gang REvil by pushing it offline. In: Reuters. 21. Oktober 2021 (reuters.com [abgerufen am 28. Oktober 2021]).
  13. Mutmaßlicher Ransomware-Millionär identifiziert. 28. Oktober 2021, abgerufen am 28. Oktober 2021.
  14. Der Bitcoin-Erpresser mit der teuren Uhr. In: zeit.de. Abgerufen am 28. Oktober 2021.
  15. Kai Biermann: Internationale Operation GoldDust gegen Cybererpresser. Bei Razzien haben Ermittler in Rumänien, Polen, den USA und Südkorea Cybererpresser festgenommen. Sie beschlagnahmten 6,1 Million Dollar Lösegeld. In: Zeit Online. Zeit Online GmbH, 8. November 2021, abgerufen am 8. November 2021.
  16. Erpresserorganisation »REvil«: Russland nimmt 14 mutmaßliche Mitglieder von berüchtigter Cybercrime-Gang fest. In: Spiegel Online. Der Spiegel GmbH & Co. KG, 14. Januar 2022, abgerufen am 14. Januar 2022.