Revil soll seine Ransomware bei Attacken auf Unternehmen und Behörden weltweit auf über 175.000 Geräte eingeschleust und mindestens 200 Millionen US-Dollar Lösegeld kassiert haben. So wird der Hackerbande der Angriff auf den IT-Dienstleister Kaseya zugeschrieben, von dem Hunderte Unternehmen betroffen waren. Nachdem im Oktober und November 2021 in verschiedenen europäischen Ländern Revil-Mitglieder festgenommen und Infrastruktur lahmgelegt worden waren, folgte Anfang Januar 2022 ein Schlag des russischen Geheimdienstes – mit 14 Festnahmen. Jetzt schein Revil aber wieder zurückgekehrt zu sein.
Anzeichen für ein Revil-Comeback
Schon seit Tagen mehren sich die Anzeichen für ein Comeback der Hackergruppe. So sind die Revil-Server im Tor-Netzwerk wieder verfügbar und es gibt einen Blogartikel, in dem mehrere neue Opfer genannt werden. Von einer neuen Revil-Ransomwareattacke betroffen sein sollen demnach unter anderem das zweitgrößte Öl- und Gasunternehmen Indiens, Oil India, sowie der französische Werbe- und Lichtspezialist Visotec. Auch die Stratfort University gehört angeblich zu den Opfern der neuen Angriffswelle. Die Hacker veröffentlichten zudem Screenshots von angeblich entwendeten Daten.
Ob tatsächlich nicht geschnappte Mitglieder von Revil wieder aktiv sind oder nur Trittbrettfahrer:innen, die von der Bekanntheit der Hackerbande profitieren wollen, ist bisher nicht ganz klar. Als sicher gilt nur, dass die Personen Zugang zum alten Revil-Server haben müssen. Zudem wollen andere Cyberkriminelle einen ehemaligen Core-Developer von Revil als Kopf der neuen Bande ausgemacht haben. Der versuche jetzt angeblich, neue Mitglieder um sich zu scharen, um Revil wiederzubeleben. Andere wieder gehen davon aus, dass hinter dem Comeback-Versuch Betrüger:innen stecken, wie Inside-IT schreibt.
Beweis in Ransomware-Verschlüsselung
Jetzt ist dem IT-Sicherheitsforscher Jakub Kroustek nach eigenen Angaben der Beweis gelungen, dass die neue Angriffswelle auf Revil zurückzuführen sei. Denn die Analyse des Verschlüsselungsalgorithmus der neuen Ransomware ergab, dass dieser direkt aus dem Source-Code erstellt worden sein muss. Allerdings verschlüssele die aktuelle Ransomware-Version derzeit nicht, was einen Security-Experten, der bei Twitter als R3MRUM auftritt, verwundert. Bleepingcomputer zufolge soll die optimierte Ransomware dafür aber die Möglichkeit haben, ihre Opfer noch gezielter anzugreifen.
Ebenfalls nicht ganz klar ist, warum Revil unter seinem alten Namen zurückkehrt. Das könnte aber viel mit dem Überfall Russlands auf die Ukraine und den kaum mehr vorhandenen Beziehungen zwischen westlichen und russischen Behörden zu tun haben. Laut der staatlichen Nachrichtenagentur Tass sollen die USA den Kommunikationskanal mit Russland zum Thema Cybersecurity geschlossen haben. Zuvor habe Russland den USA nach dem Ausschalten der Revil-Hackergruppe zu Beginn des Jahres einen Vorschlag zur Zusammenarbeit beim Schutz kritischer Infrastruktur gemacht.