REvil

Hintergrund

Zusammenfassung

Kontext

REvil war ab dem Jahr 2019 aktiv und wurde anscheinend gegründet, nachdem die Urheber von GandCrab das Ende ihrer Aktivitäten angekündigt hatten. Angeblich wechselten damals auch einige GandCrab-Entwickler zu REvil.^[4] Wie die Entwickler von GandCrab mied die REvil-Gruppe russischsprachige Länder. Der Trojaner fragte Spracheinstellungen infizierter Rechner ab und befiel diese nicht, wenn das russische Sprachpaket installiert war.

Der verwendete Programmcode, der teils identisch ist, sowie die ähnliche Struktur der Lösegeldforderungen deutete auf einen Bezug zur Hackergruppe DarkSide hin. REvil wurde als Ableger von DarkSide vermutet oder beide Gruppen kooperieren.^[5]^[6]

Nach Ermittlungen in den USA, Russland, Südkorea und in der Europäischen Union wurden im November 2021 zwölf Verdächtigte in Bezug zu Aktivitäten der REvil-Gruppe angeklagt. Der Ukrainer Jaroslaw Vasinskij, der unter dem Pseudonym Rabotnik agierte, wurde im Oktober 2021 in Polen verhaftet. Nachdem er 2022 von dort an die USA ausgeliefert worden war, bekannte er sich vor einem texanischen Gericht schuldig und wurde 2024 zu insgesamt 13 Jahren und sieben Monaten Haft sowie zur Zahlung von mehr als 16 Millionen Dollar an Entschädigungen verurteilt.^[7] Zwei weitere Verhaftungen gab es in Rumänien und drei in Südkorea.^[8]

Remove ads

Aktivitäten

März 2021: Mehrere Medien berichteten, dass bei dem taiwanischen Hardware- und Halbleiterhersteller Asus das interne Verwaltungsnetzwerk des Unternehmens mit einem Trojanischen Pferd infiziert wurde. In der Folge wurden zahlreiche Dateien verschlüsselt. Laut Medienberichten verlangten die Täter demnach 50 Millionen Dollar für die Entschlüsselung. Die verwendete Software soll von REvil stammen.^[9]
Juli 2021: Direkt nach einer großangelegten Ransomwareattacke auf VSA-Server wurde die Gruppe REvil von IT-Sicherheitsexperten und Politikern als der hauptverdächtige Drahtzieher bezeichnet. Ein Bekennerschreiben mit einer Forderung über 70 Millionen US-Dollar folgte drei Tage später.

In Deutschland waren unter anderem das Staatstheater Stuttgart, mehrere mittelständische Unternehmen und Krankenhäuser durch REvil erpresst worden.^[10]

Remove ads

Entschlüsselung und Ermittlungen

Im September 2021 ist es Bitdefender über eine Strafverfolgungsbehörde gelungen einen kostenlosen Decryptor zu veröffentlichen. Alle Verschlüsselungs-Opfer vor dem 13. Juli 2021 können ihre Daten nun wieder entschlüsseln.^[11]

Im Oktober 2021 gelang es internationalen Ermittlern, die Infrastruktur von REvil zu hacken und deren Webseiten abzuschalten.^[12]

Im Jahr 2021 ermittelte das Landeskriminalamt Baden-Württemberg (LKA BW) einen russischen Staatsbürger, der nach Ansicht des LKA BW zweifelsfrei der Kerngruppe von REvil angehöre. Dieser führe einen Telegram-Account, der mit einer Bitcoin-Adresse verknüpft sei, auf die insgesamt 400.000 Euro eingezahlt wurden, die aus den Erpressungen stammen.^[13]^[14]

In einer internationalen Aktion verschiedener Polizei- und Sicherheitsbehörden, genannt GoldDust, gelang es, einige Affiliates festzunehmen. Es wurden dabei 6,1 Millionen Dollar in Form von Kryptowährung beschlagnahmt. Zwei der Täter wurden in Rumänien verhaftet. Allerdings gelang es nicht, die Hintermänner zu fassen, die in Russland vermutet wurden. Daher hatte das Außenministerium der Vereinigten Staaten 10 Millionen Dollar ausgelobt für Hinweise, die zu den Tätern führen.^[15]

Zerschlagung

Laut der Nachrichtenagentur Interfax wurde REvil Mitte Januar 2022 in einer gemeinsamen Aktion von FSB und russischer Polizei zerschlagen. Vorausgegangen war ein Ersuchen von Behörden der Vereinigten Staaten. Bei der Aktion wurden vierzehn mutmaßliche Mitglieder von REvil festgenommen und große Bargeldmengen in Rubel, Dollar und Euro beschlagnahmt. Interfax zufolge soll es nicht zu Auslieferungen an die USA kommen.^[16]

Remove ads

Hintergrund

Aktivitäten

Entschlüsselung und Ermittlungen

Zerschlagung

Einzelnachweise

Wikiwand - on