REvil-Gruppe: Angeblich wegen Kompromittierung durch FBI & Co. wieder offline
Mit REvil ist eine der führenden Cybercrime-Banden nach einem kurzen Comeback wieder offline. Verantwortlich sind angeblich aggressive Strafverfolgungsbehörden.
(Bild: r.classen/Shutterstock.com)
Die Erpressergruppe REvil ist im Rahmen einer länderübergreifenden Aktion von Strafverfolgungsbehörden selbst gehackt worden und deshalb erneut offline gegangen. Das berichtet die Nachrichtenagentur Reuters und liefert damit wohl die Erklärung dafür, warum die Gruppe in dieser Woche einmal mehr von der Bildfläche verschwunden ist. Demnach war es dem FBI gemeinsam mit anderen US-Sicherheitsbehörden und Organisationen anderer Staaten gelungen, Backups der REvil-Gruppe zu kompromittieren und damit eine Taktik der Cyberkriminellen gegen diese zu wenden. Verantwortlich für den Erfolg sei deshalb auch ein aggressiveres Vorgehen der staatlichen Akteure gewesen.
Anhaltender Kampf mit Geheimdiensten
Reuters beruft sich bei dem Bericht auf Aussagen dreier, teilweise namentlicher genannter Cybersecurity-Experten, unter anderem von den Firmen VMWare und Group-IB sowie einen ungenannten Ex-Beamten. Die haben demnach ausgeführt, dass es einem befreundeten Staat im Zuge der Reaktion auf die Kaseya-Attacke gelungen sei, sich in die Infrastruktur von REvil zu hacken. Mindestens einige der Server der Angreifer habe man unter Kontrolle bekommen und dann wohl auch die Backups infiziert. REvil war dann plötzlich offline gegangen, habe sich aber mithilfe der Backups zurückgemeldet, ohne zu wissen, dass Strafverfolgungsbehörden dadurch wieder Zugriff hatten. Dieses Vorgehen sei die Lieblingstaktik der Cyberkriminellen gewesen, erklärt Oleg Skulkin von Group-IB. Nun sei die Gruppe erneut aus dem Netz gedrängt worden.
Dem erfolgreichen Angriff auf eine der gefährlichsten Ransomware-Gruppen ging demnach auch ein Strategiewechsel der US-Regierung voraus. Im Frühsommer hatte das US-Justizministerium entschieden, dass Ermittlungen in Fällen solcher Erpressungstrojaner als relevant für die nationale Sicherheit betrachtet werden sollten. Seitdem würden sie mit der Priorität behandelt, die sonst für Terrorermittlungen reserviert. Das sei die juristische Grundlage gewesen, Geheimdienste und das US-Militär einzubeziehen. "Vorher konnte man diese Foren nicht hacken und das Militär habe damit nichts zu tun haben wollen, danach seien die Samthandschuhe ausgezogen worden", erklärt Tom Kellermann von VMWare.
Am Anfang der Eskalation stand demnach die perfide Attacke auf Kaseya Anfang Juli. Unter Rückgriff auf eine Schwachstelle in der Software des IT-Dienstleisters hatte die Gruppe auf einen Schlag Hunderte Kunden von Kaseya angegriffen. Für ein "universelles Entschlüsselungs-Tool" zur Rettung der Daten hatten sie umgehend 70 Millionen US-Dollar in Bitcoin verlangt. Später war bekannt geworden, dass das FBI durch einen Zugriff auf Server der Cyberkriminellen aus Russland in Besitz des Schlüssels gelangt worden war, der den Opfern immens geholfen hätte. Um einen größeren Schlag gegen REvil vorzubereiten, war der Schlüssel aber zurückgehalten worden. Der große Gegenschlag sei aber nie erfolgt, weil REvil plötzlich von der Bildfläche verschwand. Einige Tage später wurde der Schlüssel dann an Kaseya übergeben – drei Wochen nach der Erbeutung.
[Update 22.10.21 12:07 Uhr:] Die Gruppe REvil hatte auch zahlreiche Unterlagen des Apple-Fertigers Quanta Computer aus Taiwan erbeutet und versucht, den iPhone-Konzern zu erpressen. Schließlich landeten Baupläne der neuen MacBook-Pro-Modelle im Netz. So wurde unter anderem vorab bekannt, dass die Maschinen wieder mehr Anschlüsse haben werden, darunter MagSafe 3.
(mho)