REvil, eine beeindruckende Ransomware-as-a-Service (RaaS)-Operation, die erstmals Ende April 2019 ans Licht kam, ist zurückgekehrt. Nach sechsmonatiger Inaktivität – nach der Razzia durch die russischen Behörden – scheint die Ransomware-Gruppe ihre Tätigkeit wieder aufgenommen zu haben.
Die Analyse neuer Ransomware-Samples zeigt, dass der Entwickler Zugriff auf den Quellcode von REvil hat, was bedeutet, dass die Bedrohungsgruppe wieder aufgetaucht ist. Dieser Verdacht wurde weiter verstärkt, als die Website der Ransomware-Crew im Dark Web neu gestartet wurde.
Wir haben schon viele Ransomware-Gruppen gesehen, aber was macht REvil so besonders? Was bedeutet die Rückkehr der Gruppe für die Cyberwelt? Lass es uns herausfinden!
Was macht REvil Ransomware einzigartig?
REvil hat sich den Ruf erarbeitet, hochkarätige und höchst lukrative Ziele zu verfolgen und exorbitante Zahlungen von seinen Opfern zu fordern. Es ist auch eine der ersten Gruppen, die die Taktik der doppelten Erpressung anwendet, bei der sie die Daten des Opfers exfiltriert und verschlüsselt.
Das Ransomware für doppelte Erpressung Schema ermöglicht es REvil, zwei Lösegelder für hohe finanzielle Gewinne zu verlangen. Im Gespräch mit Russisch OSINT, behaupteten die Entwickler der Gruppe, sie hätten in einem Jahr mehr als 100 Millionen Dollar verdient, indem sie auf große Unternehmen abzielten. Allerdings ging nur ein Bruchteil davon an die Entwickler, während die Affiliates den Löwenanteil bekamen.
Größere REvil-Ransomware-Angriffe
Die REvil-Ransomware-Gruppe steckt hinter einigen von ihnen die größten Ransomware-Angriffe von 2020-21. Die Gruppe trat erstmals 2020 ins Rampenlicht, als sie Travelex angriff, was letztendlich zum Untergang des Unternehmens führte. Im folgenden Jahr machte REvil Schlagzeilen, indem es höchst lukrative Cyberangriffe inszenierte, die die öffentliche Infrastruktur und Lieferketten störten.
Die Gruppe griff Unternehmen wie Acer, Quanta Computer, JBS Foods und den IT-Management- und Softwareanbieter Kaseya an. Die Gruppe hatte wahrscheinlich einige Verbindungen zu den berüchtigten kolonialen Pipeline-Angriff, die die Kraftstoffversorgungskette in den USA störte.
Nach dem Ransomware-Angriff Kaseya REvil schwieg die Gruppe einige Zeit, um die unerwünschte Aufmerksamkeit, die sie auf sich gezogen hatte, abzumildern. Es wurde viel darüber spekuliert, dass die Gruppe im Sommer 2021 eine neue Angriffsserie plant, aber die Strafverfolgungsbehörden hatten andere Pläne für die Betreiber von REvil.
Tag der Abrechnung für die REvil Cyber Gang
Als die berüchtigte Ransomware-Bande für neue Angriffe wieder auftauchte, stellten sie fest, dass ihre Infrastruktur kompromittiert war, und wandten sich gegen sie. Im Januar 2022 gab der russische Staatssicherheitsdienst FSB bekannt, die Aktivitäten der Gruppe auf Ersuchen der Vereinigten Staaten gestört zu haben.
Mehrere Bandenmitglieder wurden festgenommen und ihr Vermögen beschlagnahmt, darunter Millionen von US-Dollar, Euro und Rubel sowie 20 Luxusautos und Geldbörsen für Kryptowährungen. Die REvil-Ransomware-Verhaftungen erfolgten auch in Osteuropa, einschließlich Polen, wo die Behörden einen Verdächtigen des Kaseya-Angriffs festnahmen.
Der Niedergang von REvil nach der Verhaftung wichtiger Gruppenmitglieder wurde in der Sicherheitsgemeinschaft natürlich begrüßt, und viele gingen davon aus, dass die Bedrohung vollständig vorüber war. Das Gefühl der Erleichterung war jedoch nur von kurzer Dauer, da die Bande ihre Operationen nun wieder aufgenommen hat.
Das Wiederaufleben von REvil Ransomware
Forscher aus Secureworks analysierte eine Malware-Probe vom März und deutete an, dass die Bande möglicherweise wieder in Aktion treten könnte. Die Forscher fanden heraus, dass der Entwickler wahrscheinlich Zugriff auf den ursprünglichen Quellcode hat, der von REvil verwendet wird.
Die von der REvil-Leck-Website verwendete Domain wurde ebenfalls wieder in Betrieb genommen, leitet Besucher jetzt jedoch auf eine neue URL um, auf der mehr als 250 REvil-Opferorganisationen aufgelistet sind. Die Liste enthält eine Mischung aus den alten Opfern von REvil und einigen neuen Zielen.
Oil India – ein indisches Erdölunternehmen – war das prominenteste der neuen Opfer. Das Unternehmen bestätigte die Datenschutzverletzung und erhielt eine Lösegeldforderung in Höhe von 7,5 Millionen US-Dollar. Während der Angriff zu Spekulationen führte, dass REvil den Betrieb wieder aufnimmt, gab es immer noch Fragen darüber, ob es sich um eine Nachahmungsoperation handelte.
Die einzige Möglichkeit, die Rückkehr von REvil zu bestätigen, bestand darin, ein Beispiel des Verschlüsselungsprogramms der Ransomware-Operation zu finden und zu prüfen, ob es aus dem ursprünglichen Quellcode kompiliert wurde.
Ende April entdeckte der Avast-Forscher Jakub Kroustek den Ransomware-Verschlüsseler und bestätigte, dass es sich tatsächlich um eine REvil-Variante handelte. Das Beispiel verschlüsselte keine Dateien, sondern fügte Dateien eine zufällige Erweiterung hinzu. Sicherheitsanalysten sagten, es sei ein Fehler, der von den Ransomware-Entwicklern eingeführt wurde.
Mehrere Sicherheitsanalysten haben erklärt, dass das neue Ransomware-Beispiel an den ursprünglichen Quellcode anknüpft, was bedeutet, dass jemand aus der Bande – beispielsweise ein Kernentwickler – beteiligt gewesen sein muss.
Die Zusammensetzung der REvil-Gruppe
Das Wiederauftauchen von REvil nach den mutmaßlichen Verhaftungen Anfang dieses Jahres hat Fragen zur Zusammensetzung der Gruppe und ihren Verbindungen zur russischen Regierung aufgeworfen. Die Bande wurde aufgrund erfolgreicher US-Diplomatie vor Beginn des Russland-Ukraine-Konflikts dunkel.
Für viele deutet das plötzliche Wiederaufleben der Gruppe darauf hin, dass Russland sie möglicherweise als Kraftmultiplikator in den anhaltenden geopolitischen Spannungen einsetzen möchte.
Da noch keine Person identifiziert wurde, ist unklar, wer hinter der Operation steckt. Handelt es sich um die gleichen Personen, die die vorherigen Operationen geleitet haben, oder hat eine neue Gruppe übernommen?
Die Zusammensetzung der Kontrollgruppe ist noch immer ein Rätsel. Aber angesichts der Verhaftungen Anfang dieses Jahres ist es wahrscheinlich, dass die Gruppe einige Betreiber hat, die zuvor nicht Teil von REvil waren.
Für einige Analysten ist es nicht ungewöhnlich, dass Ransomware-Gruppen untergehen und in anderen Formen wieder auftauchen. Man kann jedoch die Möglichkeit nicht vollständig ausschließen, dass jemand den Ruf der Marke nutzt, um Fuß zu fassen.
Schutz vor REvil-Ransomware-Angriffen
Die Verhaftung des Kingpins von REvil war ein großer Tag für die Cybersicherheit, insbesondere als Ransomware-Gruppen alles ins Visier nahmen, von öffentlichen Einrichtungen bis hin zu Krankenhäusern und Schulen. Aber wie bei jeder Unterbrechung krimineller Online-Aktivitäten zu sehen war, bedeutete dies nicht das Ende der Ransomware-Pandemie.
Die Gefahr im Fall von REvil ist das doppelte Erpressungssystem, bei dem die Gruppe versuchen würde, Ihre Daten zu verkaufen und das Image und die Kundenbeziehungen einer Marke zu beschädigen.
Im Allgemeinen besteht eine gute Strategie zur Abwehr solcher Angriffe darin, Ihr Netzwerk zu sichern und Simulationstests durchzuführen. Ein Ransomware-Angriff erfolgt häufig aufgrund ungepatchter Schwachstellen, und Simulationsangriffe können Ihnen dabei helfen, diese zu identifizieren.
Eine weitere wichtige Strategie zur Risikominderung besteht darin, jeden zu überprüfen, bevor er auf Ihr Netzwerk zugreifen kann. Daher kann eine Zero-Trust-Strategie von Vorteil sein, da sie auf dem Grundprinzip basiert, niemandem zu vertrauen und jeden Benutzer und jedes Gerät zu überprüfen, bevor ihm Zugriff auf Netzwerkressourcen gewährt wird.