...
🧠 De blog is gewijd aan het onderwerp VPN en beveiliging, gegevensprivacy op internet. We praten over actuele trends en nieuws met betrekking tot bescherming.

REvil – Russischsprachige Ransomware-Gang verschwindet

6

Die berüchtigte russischsprachige Ransomware-Bande REvil ist auf mysteriöse Weise aus dem Internet verschwunden, nachdem sie hochkarätige Angriffe auf Hunderte von Unternehmen weltweit durchgeführt hatte.

Es ist noch unklar, warum die Gruppe zusammen mit ihren Blog- und Zahlungswebsites offline gegangen ist. Aber sein plötzliches Verschwinden nur wenige Tage nach der Aussage von Präsident Biden wirft die Frage auf, ob die US-Behörden etwas damit zu tun hatten.

Wer ist REvil?

REvil (Ransomware Evil oder auch bekannt als Sobinokibi) ist eine russischsprachige Bande. Sie haben Tausende von hochkarätigen Unternehmen auf der ganzen Welt ins Visier genommen. Sie würden damit drohen, die Informationen in ihrem Happy Blog zu veröffentlichen, es sei denn, die Opfer zahlen das Lösegeld.

Niemand konnte ihren Aufenthaltsort bestimmen, aber es wird angenommen, dass sie in Russland stationiert ist, weil die Bande es nicht auf russische Unternehmen oder die Regionen im ehemaligen Sowjetblock abgesehen hat.

In der Vergangenheit haben britische und US-Behörden auch virtuellen privaten Netzwerken (VPNs)missbraucht haben, um Organisationen weltweit anzugreifen und ihre digitalen Fußabdrücke zu verbergen. Die russische Botschaft in den USA wies die Vorwürfe jedoch zurück.

REvil-Ziele

Im Mai 2020 stahl REvil fast ein Terabyte vertraulicher Informationen aus der Anwaltskanzlei Grubman Shire Meiselas & Sacks und behauptete, „schmutzige Wäsche” über Präsident Trump zu haben. Die Bande drohte, Daten online zu veröffentlichen, wenn die Ransomware in Höhe von 42 Millionen US-Dollar nicht bezahlt würde. Die Bande erklärte:

„Die nächste Person, die wir veröffentlichen werden, ist Donald Trump. Es findet ein Wahlkampf statt, und wir haben pünktlich eine Menge schmutziger Wäsche gefunden. Mr. Trump, wenn Sie Präsident bleiben wollen, stoßen Sie die Jungs mit einem spitzen Stock an, sonst vergessen Sie diesen Ehrgeiz vielleicht für immer.”

Im März 2021 griff REvil die Harris Federation an, in der Folge wurde das IT-System der Organisation wochenlang heruntergefahren, was Tausende von Benutzern betraf.

Im April 2021 zielte REvil auf Apple und stahl Pläne für kommende Apple-Produkte, darunter die Apple Watch, Laptops und mehr. Die Bande forderte 50 Millionen Dollar für Informationen. Nach dem Angriff schrieben sie in ihrem Happy Blog:

„Um nicht auf die bevorstehende Apple-Präsentation zu warten, werden wir, die REvil-Gruppe, heute Daten zu den bevorstehenden Veröffentlichungen des von vielen so beliebten Unternehmens bereitstellen. Tim Cook kann Danke sagen Quanta.”

Im Mai 2021 wurde JBS SA, ein in Brasilien ansässiges Fleischverarbeitungsunternehmen, angegriffen und seine Schlachthöfe lahmgelegt. Nur wenige Tage nach dem Angriff gab das Weiße Haus bekannt, dass der REvil hinter dem Angriff stecken könnte. JBS zahlte REvil ein Lösegeld in Höhe von 11 Millionen Dollar in Bitcoin.

Das jüngste Ziel von REvil war Kaseya, ein US-Technologieanbieter. Am 2. Juli 2021 zielte REvil auf Kaseya-Systeme ab und forderte Lösegeld in Höhe von 70 Millionen US-Dollar, um ihre Daten wiederherzustellen. Infolge des Angriffs musste die schwedische Lebensmittelkette Coop fast 800 Geschäfte für mehrere Tage schließen.

Dies war einer der größten Ransomware-Angriffe in der Geschichte. Der Angriff betraf Tausende kleiner Unternehmen auf der ganzen Welt. Nach der US Cybersecurity and Infrastructure Security Agency wurden alle Benutzer aufgefordert, die VSA-Server sofort herunterzufahren.

Der Angriff war am Freitag, vor dem langen Urlaub in den USA, perfekt getimt, um ihn so schnell wie möglich zu verbreiten, ohne entdeckt zu werden.

Biden geht gegen REvil vor

Nach dem Angriff beschloss Präsident Joe Biden, Maßnahmen zu ergreifen, und wies die US-Geheimdienste an, die Gruppe hinter dem Angriff zu untersuchen, der Hunderte von amerikanischen Unternehmen traf.

Am 10. Juli rief Biden Präsident Wladimir Putin an und sagte, er müsse „Maßnahmen ergreifen”. Biden sagte weiter:

„Ich habe ihm sehr deutlich gemacht, dass die Vereinigten Staaten erwarten, dass sie handeln, wenn eine Ransomware-Operation von ihrem Boden kommt, obwohl sie nicht vom Staat gesponsert wird, wenn wir ihnen genügend Informationen geben, um zu handeln, wer das ist.”

Auf die Frage, ob es Konsequenzen geben würde, lächelte Biden und sagte: „Ja.” Er sagte auch, dass die USA Maßnahmen ergreifen und die Server der REvil-Gruppe abschalten werden, wenn Moskau nicht handelt.

Das Verschwinden der REvil-Bande

Die Websites, Blogs und „ihre gesamte Infrastruktur” von REvil sind dunkel geworden, sagte Allen Liska, ein Geheimdienstanalyst von Recorded Future. Liska sagte auch, dass der öffentliche Sprecher von REvil, der auch „Unknown” genannt wird, „ seit letztem Donnerstag nicht mehr in Message Boards aktiv war”, und dass die Seite seit einiger Zeit nicht mehr reagiert.

Warum die Gruppe plötzlich aus dem Internet verschwunden ist oder ob das Verschwinden nur vorübergehend oder dauerhaft ist, ist noch unklar.

Die jüngsten Änderungen haben Spekulationen darüber ausgelöst, ob der Schritt REvils eigene Entscheidung war, Operationen wie die ehemalige russische Cyberkriminalität DarkSide einzustellen, oder ob er das Ergebnis von Maßnahmen der US-Regierung war.

John Hultquist von Mandiant Threat Intelligence sagte:

„Die Situation entwickelt sich immer noch, aber Beweise deuten darauf hin, dass REvil eine geplante, gleichzeitige Abschaltung ihrer Infrastruktur erlitten hat, entweder durch die Betreiber selbst oder durch Maßnahmen der Industrie oder der Strafverfolgungsbehörden … Wenn es sich um eine Störungsoperation irgendeiner Art handelte, werden möglicherweise nie vollständige Details bekannt ans Licht.”

Das ist natürlich eine gute Sache, aber nicht für alle Zielunternehmen, wie Brett Callow von Emsisoft betont :

„Wenn es den Strafverfolgungsbehörden gelungen wäre, die Operationen der Bande zu unterbrechen, wäre das natürlich eine gute Sache, könnte aber zu Problemen für alle Unternehmen führen, deren Daten derzeit verschlüsselt sind. Sie hätten nicht die Möglichkeit, REvil für den Schlüssel zu bezahlen, der zum Entschlüsseln ihrer Daten benötigt wird.”

Liska wies auch darauf hin, dass die Eigentümerschaft der Website von REvil noch nicht geändert wurde, wodurch die Möglichkeit einer Domainbeschlagnahme weniger wahrscheinlich wird. Er sagte auch: „ Dies könnte darauf hindeuten, dass es sich um selbstgesteuerte Takedowns handelt (zu früh, um dies zu sagen).”

Bis jetzt haben die Sprecher des Nationalen Sicherheitsrates des Weißen Hauses und des Cyber ​​Command noch keinen Kommentar zum jüngsten Verschwinden von REvil abgegeben. Auch wenn die US-Regierung hinter dem Verschwinden von REvil steckte, gibt es noch andere Ransomware-Gruppen, die noch aktiv sind – und damit weltweit Sicherheitsbedenken hervorrufen .

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. Annehmen Weiterlesen