REvil: Ransomware-Gang in neuer Aufstellung wieder aktiv

Neue Forenbeiträge und "Happy Blog"-Inhalte belegen, dass die Erpresserbande um REvil zurück ist – und dass ihre Auszeit wohl nicht freiwillig war.

In Pocket speichern vorlesen Druckansicht 40 Kommentare lesen

(Bild: Pixels Hunter/Shutterstock.com)

Lesezeit: 3 Min.

Mitte Juli dieses Jahres waren die Kriminellen rund um die Ransomware "REvil", auch bekannt als Sodinokibi, von der Bildfläche verschwunden. Als ihr sogenannter "Happy Blog" mit geleakten Daten von Erpressungsopfern vergangene Woche überraschend wieder online ging, hatte dies unter anderem Spekulationen um einen bewussten Schachzug involvierter Strafverfolgungsbehörden ausgelöst.

Mittlerweile hat sich herauskristallisiert, dass wohl tatsächlich ein Teil der REvil-Serverinfrastruktur von unbekannter Seite kompromittiert wurde – und dass ein Mitglied der Ransomware-Gang unter ungeklärten Umständen verschwunden ist. Die restliche Bande hält dies allerdings nicht davon ab, ihren Beutezug mit neuen Schadsoftware-Varianten und Daten-Leaks im "Happy Blog" wiederaufzunehmen.

Statt dem Mitglied "Unknown", das sonst als Sprachrohr der REvil-Gang in Foren und gegenüber der Presse auftrat, verfasste Ende letzter Woche ein anderes Mitglied unter dem schlichten Pseudonym REvil neue Beiträge in einem Untergrundforum. Screenshots der Unterhaltung wurden unter anderem von Bleeping Computer veröffentlicht. In russischer Sprache erläutert der Autor darin, dass "Unknown" (vermutlich im Juli dieses Jahres, wann genau wird nicht erwähnt) unter ungeklärten Umständen verschwunden sei.

Die Entwickler des REvil-Schadcodes hätten nach längerem vergeblichem Warten schließlich an eine Verhaftung Unknowns geglaubt. Überdies habe ihr Hoster sie darüber informiert, dass die Clearnet-Server der Gang, auf denen unter anderem auch die REvil-Bezahlinfrastruktur lief, "kompromittiert" worden sei – von wem, geht aus dem Beitrag nicht hervor. Der Hoster habe die Inhalte jedenfalls umgehend gelöscht. In der Konsequenz hätten die Entwickler des REvil-Schadcodes im Anschluss an ein Backup auch die übrige Darknet-Serverinfrastruktur vorläufig abgeschaltet.

Der Autor der Beiträge erklärt außerdem, wie die US-Firma Kaseya in den Besitz des REvil-Masterkeys gekommen sei. Eine Übersetzung seiner Erläuterungen hat das Unternehmen Flashpoint in einem Blogeintrag veröffentlicht. "Unser Verschlüsselungsprozess erlaubt uns, entweder einen universellen Decryption-Key oder individuelle Schlüssel für jedes System zu generieren", heißt es darin. Im Zuge eines hohen Aufkommens an zu generierenden Schlüsseln habe sich einer der Entwickler schlicht verklickt und einen Universalschlüssel erzeugt, den er dann versehentlich zusammen mit einigen individuellen Schlüsseln verschickt habe. "That’s how we shit ourselves", schließt Flashpoints Übersetzung.

Letztlich könnte es sich bei REvils Comeback um eine ausgeklügelte Strategie von Ermittlern handeln, die sich das Vertrauen von Ransomware-Affiliates und anderen Bösewichten erschleichen wollen. Andernfalls überrascht jedenfalls die Gelassenheit, mit der die REvil-Gang nun wieder zum Tagesgeschäft übergeht: Beim Malware-Prüfdienst VirusTotal ist bereits eine neue, am 4. September kompilierte REvil/Sodinokibi-Variante aufgetaucht. Außerdem wurde dem "Happy Blog" ein neuer Eintrag mit Unternehmensdaten hinzugefügt.

(ovw)