Ransomware: Erpressungs-Website der "REvil"-Gang plötzlich wieder online
Die Gang, deren Kaseya-Lieferkettenangriff Schlagzeilen machte, war Mitte Juli von der Bildfläche verschwunden – nun ist ihre Tor-Onion-Leak-Site wieder aktiv.
(Bild: JARIRIYAWAT/Shutterstock.com)
Die (In-)Aktivität der bekannten und überaus erfolgreichen Cybercrime-Gang "REvil" um die gleichnamige Ransomware verursacht Beobachtern derzeit Kopfzerbrechen. Nachdem sowohl die Tor Onion-Site "Happy Blog" mit geleakten Daten der REvil-Opfer als auch die zugehörige Bezahlinfrastruktur der Erpresser ab Mitte Juli plötzlich nicht mehr erreichbar waren, ist der Blog nun seit mindestens vergangenem Dienstag wieder online.
Das heise Security-Team konnte die Richtigkeit entsprechender Medienberichte im Rahmen von Zugriffen am Mittwoch und Donnerstag verifizieren. Aktuelle Inhalte in Gestalt neuer Botschaften oder Leaks wurden dem Blog augenscheinlich nicht hinzugefügt: Der neueste Eintrag mit sensiblen Daten stammt offenbar von Anfang Juli und wurde vor dem Abtauchen der REvil-Gang veröffentlicht. Die separate Bezahl- und Entschlüsselungs-Website ist indes weiterhin offline.
Hintergründe des Abtauchens unklar...
Der Rückzug der REvil-Gruppe war nach dem Bekanntwerden des Lieferkettenangriffs auf Kunden der US-Firma Kaseya von Anfang Juli erfolgt. Um auf einen Schlag Hunderte von Kaseya-Kunden anzugreifen, hatte die in Russland verortete Gang eine Schwachstelle in Software des IT-Dienstleisters ausgenutzt, um bei dessen Kunden Daten zu verschlüsseln. Für ein "universelles Entschlüsselungs-Tool" zur Rettung der Daten hatten sie anschließend 70 Millionen US-Dollar in Bitcoin verlangt; später hatten sie ihre Forderung auf 50 Millionen US-Dollar reduziert.
Ende Juli und damit knapp drei Wochen später hatte Kaseya verkündet, von einem ungenannten Dritten einen Generalschlüssel erhalten zu haben, mit dem sich die Daten der Opfer wiederherstellen ließen. Schwierigkeiten bei der anschließenden Entschlüsselung hätten sich nicht ergeben.
Ein Zusammenhang zwischen dem Kaseya-Vorfall und dem "Verschwinden" der Gang ist angesichts der starken medialen und politischen Aufmerksamkeit, die der Angriff verursachte, recht wahrscheinlich. US-Präsident Biden hatte den russischen Staatschef Putin kurz nach dem Vorfall dazu aufgefordert, konsequenter gegen Cybercrime und ganz speziell gegen REvil vorzugehen. Somit könnte es gut sein, dass die Gang angesichts des erhöhten Drucks der Strafverfolgung (vorläufig) den Rückzug antrat – oder dass ihre Infrastruktur schlicht übernommen beziehungsweise lahmgelegt wurde.
... und des Auftauchens ebenfalls
Auch über die Hintergründe der neuerlichen Erreichbarkeit des "Happy Blogs" lässt sich vorerst nur spekulieren. Sollte sich die REvil-Gang nach einem vorübergehenden (Luxus-)Urlaub selbst zurückgemeldet haben, dürfte es nur eine Frage der Zeit sein, bis die Bezahlinfrastruktur ebenfalls wieder verfügbar sein und der Blog zu Erpressungszwecken mit neuen "Beutestücken" befüllt wird.
Das Gang-Mitglied "Unkown", das in der Vergangenheit quasi die Presse- und Öffentlichkeitsarbeit für REvil übernahm, scheint, bislang stumm, noch an der Strandbar zu weilen. Aber auch ein deutlich unerfreulicherer Aufenthaltsort ist denkbar, sofern hinter dem neuerlichen Einschalten der Server ein kalkulierter Schachzug der Ermittlungsbehörden steckt. Als weitere Option käme schlicht ein technischer Fehler infrage.
(ovw)