REvil: Hacker geschnappt, Gefahr gebannt?
Die Ransomware-Gang REvil beschäftigt die IT-Welt nicht erst seit gestern: Schon 2019 warnten wir vor gefälschten Bewerbungen, denen der Verschlüsselungstrojaner angehängt wurde.
2021 fielen die REvil-Hacker erneut auf: Acer, der Apple-Fertiger Quanta und die US-Firma Kaseya gehörten bereits zu den Opfern; wir berichteten. Nun ist internationalen Ermittelnden ein Schlag gegen die REvil-Hacker gelungen. Im heutigen Beitrag erfahren Sie mehr zu diesen Ermittlungserfolgen – und darüber, warum das für Sie keine Entwarnung bedeutet.
REvil in den Schlagzeilen
Kann man Kriminellen trauen? – Eine Frage, die „Kunden“ der Erpressergruppe REvil eindeutig mit „nein“ beantworten müssen, denn: Tatsächlich kam der Verschlüsselungstrojaner bei kriminellen Kollegen so gut an, dass diese ihn auch nutzen wollten. Also boten die REvil-Hacker ihr Tool als Ransomware-as-a-Service im Darknet an. Womit diese Nachahmungstäter wohl nicht gerechnet hätten, ist die geheime Hintertür, über die sich die REvil-Hacker weiter bereichern konnten: Verschlüsselte Daten ließen sich so wiederherstellen und man schaltete sich in die Verhandlungen zwischen den Angreifenden und den Opfern dieser Angriffe.
Der Angriff auf Kaseya, für den die REvil-Gruppe verantwortlich war, zog Dutzende von Unternehmen in die Katastrophe hinein – mitunter mussten Schwedens Supermärkte, die Kaseya-Systeme nutzen, tagelang schließen. Perfide an der Sache: Das FBI war im Besitz des Generalschlüssels. Erst etwa drei Wochen später, nämlich als die REvil-Hacker plötzlich von der Bildfläche verschwanden, gab das FBI den Schlüssel an Kaseya. Hätte die US-Bundespolizei den Schlüssel direkt nach dem Angriff an die Opfer ausgehändigt, hätten Schäden in Millionenhöhe wohl vermieden werden können. Doch das FBI hielt den Schlüssel im Einverständnis mit anderen US-Diensten zurück – da man einen großen Schlag gegen die REvil-Hacker plante, wie die Washington Post seinerzeit berichtete.
Die IT-Sicherheitsfirma Bitdefender reagierte anders: Das Unternehmen veröffentlichte im September ein Entschlüsselungstool für alle Angriffe bis Juli. Neben Bitdefender haben auch andere Unternehmen Instrumente gegen Malware entwickelt und diese auf der Plattform No More Ransom bereitgestellt.
REvil-Verdächtiger identifiziert
Das Bundeskriminalamt (BKA) und das LKA Baden-Württemberg hatten einen Verdächtigen monatelang im Visier, der einer der Drahtziehenden hinter den REvil-Hackern sein könnte. Wie tagesschau.de berichtete, kam das LKA Baden-Württemberg dem Verdächtigen über Bitcoin-Zahlungen auf die Spur. Nachdem das Stuttgarter Staatstheater fünf Tage lang lahmgelegt war, gründete das LKA Baden-Württemberg eine Ermittlungsgruppe mit dem Namen „Krabbe“ – angelehnt an den damaligen Hacker-Namen Gandcrab. Hinter Gandcrab und REvil stecken dieselben Kriminellen – davon waren die Ermittelnden überzeugt.
Wie die Nachrichtenagentur Reuters berichtete, hätten das FBI, der US Secret Service und das US Cyber Command zusammen mit weiteren Behörden anderer Länder einen Teil der REvil-Server gehackt, sodass diese nicht mehr für die REvil-Hacker nutzbar waren. Dem Bericht zufolge gelang es den Behörden, Websites vom Netz zu nehmen. Damit diese wieder nutzbar wurden, sollen die REvil-Hacker Backups eingespielt haben. Jedoch wurden diese vorher durch die Ermittelnden kompromittiert, sodass die REvil-Hacker unwissentlich auf einen Trick hereingefallen waren, den sie bei ihren Opfern selbst gerne nutzten.
Im Oktober dieses Jahres kündigte die Ransomware-Gang REvil einmal mehr das Ende ihrer Aktivitäten an. Die Hacker sollen die Kontrolle über relevante Infrastrukturen verloren haben, außerdem sei es intern zu Streitereien gekommen. Erstmals hatten die REvil-Hacker nach dem Kaseya-Angriff angekündigt, ihre Aktivitäten einstellen zu wollen. Jedoch kehrte die Gruppe bereits im September zurück.
Ermittelnde nehmen REvil-Hacker fest
Im November 2021 gelang Ermittelnden dann ein großer Schlag: In Polen habe man einen Ukrainer festnehmen können, der im Verdacht stand, hinter der Kaseya-Attacke zu stecken. Europol teilte kurz darauf in Den Haag mit, man habe zwei weitere Menschen in Rumänien festnehmen können, die auch hinter dieser Attacke stecken.
Tatsächlich war die Aktion, die die Ermittlungsbehörden aufgestellt hatten, riesig: Laut Europol waren 17 Länder eingebunden, mitunter Deutschland, die USA, Frankreich, Polen, die Niederlande, Rumänien sowie Kanada. Nach Angaben der europäischen Justizbehörde Eurojust war hierzulande die Stuttgarter Staatsanwaltschaft federführend. Über mehrere Monate seien in unterschiedlichen Ländern fünf Verdächtige in Haft gekommen, wie Europol berichtete. Die Bilanz, die Europol zieht: Rund 7.000 angegriffene Ziele, bei denen Millionensummen erbeutet wurden.
Die USA hatten unter der Führung von US-Präsident Joe Biden angekündigt, härter gegen Cyberkriminelle vorgehen zu wollen. Da wundert es kaum, dass ein Kopfgeld festgesetzt wurde: Bis zu 10 Millionen US-Dollar möchte das US-Außenministerium zahlen, wenn die Anführenden der REvil-Hacker gefasst werden. Belohnt werden soll, wer Informationen zur Ortung oder Identifikation zum Führungskreis der Gang geben kann. Konnten die REvil-Hacker anfangs also nahezu unbehelligt agieren, steigt der Fahndungsdruck nun immens.
REvil-Hacker verhaftet – wird jetzt alles gut?
Einige Mitglieder der REvil-Hacker konnten verhaftet, einige Millionen US-Dollar sichergestellt werden. Reicht das? – Die Geschichte lehrt, dass dem nicht so ist: Konnten Anfang des Jahres Ermittlungsbehörden freudig mitteilen, dass mit Emotet einer der gefährlichsten Trojaner, die je wüteten, zerschlagen wurde, kam die Schadsoftware bereits Mitte November zurück. Ebenso wie bei Emotet ist auch bei den REvil-Hackern nicht gesagt, dass mit der Inhaftierung die Erpressertätigkeiten aufhören. Vielleicht benennt man sich um, vielleicht macht man sich nicht mal diese Mühe.
Die Geschäftsmodelle dahinter – sowohl „einfache“ Verschlüsselungstrojaner als auch Ransomware-as-a-Service – sind einfach zu lukrativ. Für jeden verhafteten Erpresser kommen zwei, drei neue – jeder Kleinkriminelle kann dank Ransomware-as-a-Service am großen Rad drehen. Ermittlungserfolge wie die jüngsten Festnahmen der REvil-Hacker werden andere nicht abschrecken, denn diese Form der Kriminalität ist zu lukrativ.
Letztlich bleibt nur eine Lösung: Verlassen Sie sich nicht auf weitere Ermittlungserfolge und rechnen Sie mit neuen Angriffen. Ransomware-Attacken gehören leider mittlerweile zum Alltag – und sie werden immer raffinierter. Deshalb: Anstatt nur zu reagieren und – im Falle der Ermittelnden – nach und nach Gang-Mitglieder zu verhaften, wäre es sinnvoller, sich darauf zu fokussieren, Ransomware-Attacken möglichst zu verhindern oder rechtzeitig zu stoppen.
Schreibe einen Kommentar