Die russischsprachige Cyberkriminelle REvil ist im Dunkeln. Die Websites wurden am frühen Dienstagmorgen offline genommen, und niemand weiß genau, warum.
Foto: ROB ENGELAAR/ANP/AFP (Getty Images)Nachdem eine berüchtigte Gruppe von Cyberkriminellen für internationales Chaos gesorgt hat, scheint sie verschwunden zu sein.
Die Ransomware-Gang REvil, deren Betreiber vermutlich in Russland ansässig sind, wurde mit zwei der katastrophalsten Ransomware-Angriffe des Jahres in Verbindung gebracht. Im Mai hackte die Bande erfolgreich den großen Fleischlieferanten JBS (eine der größten Rindfleisch- und Schweinefleischquellen Amerikas) und erpresste anschließend 11 Millionen US-Dollar aus dem Unternehmen. Dann, vor etwa einer Woche, bekannte sich die Bande zu dem Angriff auf den globalen IT-Anbieter Kaseya und forderte 70 Millionen US-Dollar im Austausch für einen Entschlüsselungsschlüssel, der die Daten aller Opfer entsperren würde.
Dennoch ist REvils Glück vielleicht aufgebraucht. Irgendwann am Dienstag gegen 1 Uhr schienen alle Online-Spuren der Bande seltsamerweise aus dem Internet zu verschwinden. Sicherheitsexperten begannen auf Twitter zu kommentieren, dass die Websites der Bande anscheinend nicht mehr verfügbar waren. Insbesondere die „Leak-Site“ der Gruppe – die REvil normalerweise verwendet hat, um Lösegeld von Opfern zu erpressen, indem sie bei Angriffen gestohlene Daten verwendet (und die die Bande sardonisch ihren „Happy Blog“ nannte) – wurde offline genommen.
„Alle REvil-Sites sind ausgefallen, einschließlich der Zahlungs-Sites und der Datenleck-Site“, sagte Lawrence Abrams, Sicherheitsforscher und Inhaber von BleepingComputer. „Der öffentliche Vertreter der Ransomware-Bande [sic], Unknown, ist seltsam leise“, fügte er hinzu und bezog sich auf das Äquivalent der Gruppe zu einer PR-Verbindung.
Das Verschwinden kommt etwas mehr als eine Woche nach dem mutmaßlichen Angriff der Bande auf Kaseya, von dem weltweit rund 1.500 Unternehmen betroffen waren. Bis Dienstag hat noch niemand REvils Forderung nach einem Lösegeld in Höhe von 70 Millionen US-Dollar bezahlt, was die vielen Hundert Unternehmen, die Berichten zufolge von dem Angriff betroffen sind, in der Schwebe zurücklässt.
G/O Media kann eine Provision erhalten
Ergopixel 1.8ft Stativ mit LED-RinglichtKaufen Sie für $60 bei StackSocial
Obwohl derzeit unklar ist, warum die Gruppe AWOL gegangen ist, kursieren einige Theorien darüber, was mit der Gruppe passiert sein könnte. Die wichtigsten sind wie folgt:
- Sie wurden von einer US-Strafverfolgungsbehörde gehackt
- Sie wurden von einer russischen Strafverfolgungsbehörde gehackt
- Sie beschlossen, aus unbekannten Gründen in den Untergrund zu gehen
Beginnen wir mit der ersten Möglichkeit. Der Absturz der REvil-Sites erfolgte weniger als eine Woche, nachdem Präsident Joe Biden Berichten zufolge ein knappes Gespräch mit dem russischen Präsidenten Wladimir Putin geführt hatte, in dem er den russischen Führer aufforderte, gegen Ransomware-Hacker vorzugehen, die innerhalb der Grenzen seines Landes operieren. Hat Putin endlich Bidens Aufruf befolgt, russische Cyberkriminelle zur Verantwortung zu ziehen? Wurden die Server von REvil von einer Cyberzelle des FSB gebraten? Es ist möglich, aber wir wissen es zu diesem Zeitpunkt einfach nicht.
Eine andere Möglichkeit besteht darin, dass eine US-Behörde die Bande ins Visier genommen hat. Die New York Times hat vorgeschlagen, dass Biden möglicherweise “dem US-amerikanischen Cyber Command in Zusammenarbeit mit inländischen Strafverfolgungsbehörden, einschließlich dem FBI, befohlen hat, es [REvil] zu Fall zu bringen”. Wenn dies der Fall wäre, scheint der Vorfall einen ähnlichen Verlauf zu nehmen wie der von DarkSide – der Ransomware-Gang, die für den Angriff auf die Colonial Pipeline verantwortlich war. Nachdem DarkSide im Mai ein Lösegeld in Höhe von 5 Millionen US-Dollar von Colonial erpresst hatte, erlitt es einen offensichtlichen Angriff auf seine Infrastruktur. Die Gruppe verschwand dann aus dem Blickfeld und hinterließ nur einen PSA in einem Dark-Web-Forum, der erklärte, dass sie von einer „unbekannten Strafverfolgungsbehörde“ ins Visier genommen worden war und ihr Geschäft daher „geschlossen“ hatte. sc-77igqf-0 bOfvBY”>Im Fall von DarkSide wurde angenommen, dass die Infrastruktur der Bande von einer US-Strafverfolgungsbehörde ins Visier genommen worden war – eine Theorie, die später durch Nachrichten über eine FBI-Operation bestätigt zu werden schien, um große Teile des Lösegelds, an das Colonial gezahlt hatte, aufzuspüren und dann zu beschlagnahmen die Hacker. Also… ist das mit REvil passiert? Nochmal, im Moment wissen wir es einfach nicht.
Schließlich ist es auch möglich, dass REvil aus unbekannten Gründen beschlossen hat, in den Untergrund zu gehen, obwohl es so scheint seltsam, dass die Bande dies tat, während sie noch mit den Opfern ihrer Kaseya-Operation feilschte – und bevor sie ihre Auszahlung von 70 Millionen US-Dollar gesichert hatte. Einige Sicherheitsforscher auf Twitter haben darauf hingewiesen, dass Ransomware-Sites routinemäßig offline gehen, aber normalerweise innerhalb kurzer Zeit wieder online gehen. Andere haben argumentiert, dass dieser Vorfall ein wenig anders zu sein scheint.
Kurz gesagt: Wir wissen es nicht, wir wissen es nicht, wir wissen es nicht. Wie bei so vielen anderen Dingen in der Welt der Cyberkriminalität sind einfach nicht genügend Informationen öffentlich verfügbar, um zu verstehen, warum dieses Ereignis eingetreten ist. Wenn REvil jedoch von einer Strafverfolgungsbehörde gehackt wurde, sagt mir etwas, dass wir ziemlich bald ein Update zur Situation haben werden.
Lucas RopekPostsTwitter
Mitarbeiter bei Gizmodo