[English]Die Webseiten sowie die Infrastruktur der REvil-Ransomware-Gruppe ist seit vorige Nacht plötzlich abgeschaltet bzw. offline. Selbst die Server, über die die Bezahlung der Opfer abgewickelt wird, ist nicht mehr erreichbar. Aktuell ist völlig unklar, was hinter diesem Sachverhalt steckt – und ob die Gruppe von staatlicher Seite geerdet wurde.
Die REvil-Ransomware-Gang (auch unter dem Namen Sodinokibi bekannt) ist eine der aggressivsten Cyber-Akteure der letzten Zeit, die „Ransomware as a Service“ anboten. Zur Vermarktung verwendet die Gruppe eine Art Affiliate-Programm, bei dem Dritte ihre Malwareprogramme für kriminelle Zwecke benutzen dürfen. Von den erpressten Geldern erhält die Gruppe dann einen Teil als Provision. Der Angriff auf den Fleischverpacker JBS und zuletzt der Lieferkettenangriff auf den US-Hersteller Kaseya (siehe Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland) hat jede Menge Staub aufgewirbelt. Im Beitrag Ransomware-Angriffe: Brenntag-Tochter, irisches Gesundheitssystem, Hacker erpressen Gießener Möbelhaus Sommerlad hatte ich im Mai 2021 bereits angedeutet, dass die REvil-Gruppe nach der Beschlagnahme der Darkside-Server angekündigt hatte, ihre Aktivitäten zurückzufahren und das Angebot nicht mehr aktiv zu bewerben.
REvil Server und Infrastruktur abgeschaltet
Seit vorherige Nacht sind die Webseiten der REvil-Gruppe sowie deren Payment-Server sowie die Infrastruktur verschwunden bzw. abgeschaltet worden. Das geht aus nachfolgendem Tweet und diesem Beitrag bei Bleeping Computer hervor.
Wer die Onion-Seite der Gruppe aufrufen möchte, bekommt den Hinweis, dass die Seite nicht gefunden wird. In diesem Tweet schreibt jemand, dass die REvil-Seiten seit dem 13. Juli 2021, 1:00 morgens (Eastern Standard Time, EST) nicht mehr erreichbar seien. Die Fehlermeldung bedeutet im Allgemeinen, dass die Onion-Seite offline ist oder deaktiviert wurde. Bleeping Computer schreibt, dass es nicht ungewöhnlich sei, dass REvil-Seiten für einige Zeit nicht erreichbar seien. Aber es sei ungewöhnlich, dass alle Seiten der REvil-Infrastruktur gleichzeitig abgeschaltet werden. Außerdem seit die decoder[.]re clear-Webseite nicht mehr durch DNS-Anfragen auflösba. Das könnte darauf hindeuten, dass die DNS-Einträge für die Domain entfernt wurden oder dass die Backend-DNS-Infrastruktur abgeschaltet wurde.
Aktuell ist vollständig unklar, was dahinter steckt und ob dort die Infrastruktur gezielt abgeschaltet wurde (es hatte ja einen Kontakt zwischen US-Präsident Joe Biden und Russlands Präsident Putin zu dieser Frage gegeben). Am Nachmittag des 13. Juli postete der Vertreter der LockBit-Ransomware im russischsprachigen XSS-Hacking-Forum eine Nachricht, dass es Gerüchte gäbe, dass die REvil-Gang ihre Server gelöscht habe, nachdem sie von einer Vorladung der Regierung erfahren hat. Dazu heißt es: bei Bleeping Computer:
Nach unbestätigten Informationen hat die REvil-Gruppe eine rechtliche Anfrage der russischen Regierung erhalten, die REvil dazu zwang, die Serverinfrastruktur komplett zu löschen und zu verschwinden. Jedoch, es nicht bestätigt.
Kurz darauf verbannte der XSS-Admin den öffentlich auftretenden Vertreter der REvil-Ransomware-Gang, namens Unknown, aus dem Forum. In diesem Tweet vermutet aber jemand, dass die REvil-Gruppe lediglich ihre Infrastruktur wechselt, nachdem sie im Fokus der Strafverfolger stehen. Ergänzung: Die Kollegen von heise haben inzwischen hier einen deutschsprachigen Artikel zum Thema veröffentlicht.
Ähnliche Artikel:
Spanische Staatsbahn, ADIF, von Revil Ransomware befallen
REvil Ransomware-Befall bei Acer? (März 2021)
REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall
Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland
Nachbereitung zum Kaseya-Lieferkettenangriff
Revil Ransomware-Hacker veröffentlichen erste Trump-Files
Ransomware, Datenlecks, Hacks, Schwachstellen (Juni 2021)
Ransomware-Angriffe: Tegut, Madsack und mehr … (26.4.2021)
Mich würde ja interessieren wie so eine rechtliche Anfrage der Regierung an „Hacker“ aussieht, den Brief stelle ich mir lustig vor…
Das geht imho nicht an die Hacker, sondern an die Provider. Spekulativ: Könnte natürlich sein, dass die Geheimdienste wissen, wer hinter der Sache steckt und einen Ukas an die Hintermänner ausgesprochen haben. Aber warten wir ab, was noch bekannt wird. Im dümmsten Fall wechselt die Gang gerade die Pferde, um weiter unerkannt aktiv zu werden.
Ob die Geheimdienste da nicht vor dem Spiegel mit sich selbst reden müssen :D