Revil angeblich wieder da. (Foto: Shutterstock)
Revil soll seine Ransomware bei Attacken auf Unternehmen und Behörden weltweit auf über 175.000 Geräte eingeschleust und mindestens 200 Millionen US-Dollar Lösegeld kassiert haben. So wird der Hackerbande der Angriff auf den IT-Dienstleister Kaseya zugeschrieben, von dem Hunderte Unternehmen betroffen waren. Nachdem im Oktober und November 2021 in verschiedenen europäischen Ländern Revil-Mitglieder festgenommen und Infrastruktur lahmgelegt worden waren, folgte Anfang Januar 2022 ein Schlag des russischen Geheimdienstes – mit 14 Festnahmen. Jetzt schein Revil aber wieder zurückgekehrt zu sein.
Anzeichen für ein Revil-Comeback
Schon seit Tagen mehren sich die Anzeichen für ein Comeback der Hackergruppe. So sind die Revil-Server im Tor-Netzwerk wieder verfügbar und es gibt einen Blogartikel, in dem mehrere neue Opfer genannt werden. Von einer neuen Revil-Ransomwareattacke betroffen sein sollen demnach unter anderem das zweitgrößte Öl- und Gasunternehmen Indiens, Oil India, sowie der französische Werbe- und Lichtspezialist Visotec. Auch die Stratfort University gehört angeblich zu den Opfern der neuen Angriffswelle. Die Hacker veröffentlichten zudem Screenshots von angeblich entwendeten Daten.
Ob tatsächlich nicht geschnappte Mitglieder von Revil wieder aktiv sind oder nur Trittbrettfahrer:innen, die von der Bekanntheit der Hackerbande profitieren wollen, ist bisher nicht ganz klar. Als sicher gilt nur, dass die Personen Zugang zum alten Revil-Server haben müssen. Zudem wollen andere Cyberkriminelle einen ehemaligen Core-Developer von Revil als Kopf der neuen Bande ausgemacht haben. Der versuche jetzt angeblich, neue Mitglieder um sich zu scharen, um Revil wiederzubeleben. Andere wieder gehen davon aus, dass hinter dem Comeback-Versuch Betrüger:innen stecken, wie Inside-IT schreibt.
Beweis in Ransomware-Verschlüsselung
Jetzt ist dem IT-Sicherheitsforscher Jakub Kroustek nach eigenen Angaben der Beweis gelungen, dass die neue Angriffswelle auf Revil zurückzuführen sei. Denn die Analyse des Verschlüsselungsalgorithmus der neuen Ransomware ergab, dass dieser direkt aus dem Source-Code erstellt worden sein muss. Allerdings verschlüssele die aktuelle Ransomware-Version derzeit nicht, was einen Security-Experten, der bei Twitter als R3MRUM auftritt, verwundert. Bleepingcomputer zufolge soll die optimierte Ransomware dafür aber die Möglichkeit haben, ihre Opfer noch gezielter anzugreifen.
Ebenfalls nicht ganz klar ist, warum Revil unter seinem alten Namen zurückkehrt. Das könnte aber viel mit dem Überfall Russlands auf die Ukraine und den kaum mehr vorhandenen Beziehungen zwischen westlichen und russischen Behörden zu tun haben. Laut der staatlichen Nachrichtenagentur Tass sollen die USA den Kommunikationskanal mit Russland zum Thema Cybersecurity geschlossen haben. Zuvor habe Russland den USA nach dem Ausschalten der Revil-Hackergruppe zu Beginn des Jahres einen Vorschlag zur Zusammenarbeit beim Schutz kritischer Infrastruktur gemacht.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team