Mutmaßlicher Hintermann der REvil-Gang in Russland identifiziert

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Ransomware-Gang REvil ist ja für viele Cyber-Angriffe berüchtigt. Nachdem die Infrastruktur durch Strafverfolger ausgehoben wurde, verschwand die Gruppe, kam wieder und verschwand erneut. Aber wer sind die Drahtzieher bzw. Hintermänner dieser Gruppe. Deutschen Ermittlern ist es nun gelungen, ein Mitglied der Kerngruppe – inzwischen Millionär – hinter der berüchtigten Schadsoftware Revil in Russland zu identifizieren.


Anzeige

Hintergrund zur REvil-Gruppe

Die Aktivitäten der REvil-Gang waren hier im Blog ja Gegenstand diverser Artikel. Die REvil-Ransomware-Gang (auch  unter dem Namen Sodinokibi bekannt) gehörte zu einer der aggressivsten  Cyber-Akteure der letzten Zeit, die „Ransomware as a Service" anboten. Zur Vermarktung verwendete die Gruppe eine Art Affiliate-Programm, bei dem Dritte ihre Malwareprogramme für kriminelle Zwecke benutzen dürfen. Von den erpressten Geldern erhält die Gruppe dann einen Teil als Provision.

Der Angriff auf den Fleischverpacker JBS und zuletzt der Lieferkettenangriff auf den US-Hersteller Kaseya (siehe Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland) hat jede Menge Staub aufgewirbelt. Aber auch kleinere Firmen wurden Opfer der Gang. Mitte Juli 2021 wurden die Webseiten der REvil-Gruppe sowie deren Payment-Server sowie die Infrastruktur abgeschaltet (ich hatte im Blog-Beitrag Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet berichtet).

Vor wenigen Wochen war einmal ein Decryptor für REvil-verschlüsselte Dateien veröffentlicht worden (Bitdefender stellt universellen REvil-Decryptor bereit). Weiterhin wurde bekannt, dass die Ransomware-Gang ihre eigenen Partner übers Ohr gehauen hatte. Während die Gangs, die die Dienste von REvil gebucht und Opfer infiziert hatten, noch über Lösegeld verhandelten, klinkten sich die REvil-Leute in diese Verhandlungen ein und übernahmen das Lösegeld. Heise hatte in diesem Artikel berichtet. Vor einigen Tagen waren Akteure der Gruppe wieder online, stellten die Operationen aber wieder ein, nachdem Tor-Server kompromittiert wurden (siehe REvil Cyber-Gang stellt Aktivitäten nach Hijacking von Tor-Seiten ein).

Ein Hintermann identifiziert

An die Hintermänner dieser Gruppen heranzukommen, ist ein schwieriges Unterfangen. Ich bin gerade auf Twitter über nachfolgenden Tweet darauf gestoßen, dass deutsche Strafverfolger wohl Erfolg bei diesem Ansatz hatten. LKA-Ermittler haben Bitcoin-Lösegeldzahlungen in diversen Erpressungsfälle nachverfolgt und wurden fündig.


Anzeige

REvil-Hintermann identifiziert

BR (Artikel) und Zeit Online (Artikel) haben in dieser Angelegenheit recherchiert. Ein mutmaßlicher Drahtzieher der REvil-Gruppe lebt unbehelligt in Russland und führt einen luxuriösen Lebensstil. Der Mann agiert offiziell als "Händler von Kryptogeld", aber die Ermittler des Bundeskriminalamts (BKA) und LKA Baden-Württemberg gehen davon aus, dass das Vermögen der Person aus Lösegeldern der REvil-Gang (und dem Vorgänger GandGrab) erzielt wurde.

Laut den Recherchen des BR und der Zeit kamen die Ermittler in monatelangen Nachforschungen dem mutmaßlichen Täter durch Analyse der Bitcoin-Zahlungen auf die Spur. Hintergrund war eine Anzeige eines Software-Entwicklers aus Stuttgart aus dem Jahr 2019. Die Cyber-Kriminellen waren damals an die Zugangsdaten eines Mitarbeiters gekommen. Dadurch gelang es der REvil-Gruppe in die Systeme einiger Kunden einzudringen. Auch das Staatstheater Stuttgart war unter den Opfern und hat wohl Lösegeld gezahlt.

Das führte zur Gründung der Ermittlungsgruppe "Krabbe" (Anlehnung an "GandGrab"), der jetzt der Ermittlungserfolg gelang. Ein internationaler Haftbefehl soll wohl in der Beantragung sein. Es ist aber unwahrscheinlich, dass die betroffene Person verhaftet und dann ausgeliefert wird und dass der russische Staat die Vermögensbestandteile beschlagnahmt. In diesem BR-Artikel heißt es, Reportern von BR und Zeit Online sei es gelungen, die Spuren des Verdächtigen Spuren zu folgen, die dieser im Netz hinterlassen habe. So fanden sich etwa Fotos aus seiner Jugend, noch ohne teure Uhren und Designerkleidung. Zudem gibt es Anhaltspunkte im Internet, die Zahlungen aus Ransomware-Fällen nahelegen. Die Details sind in den verlinkten Artikeln nachlesbar.

Ähnliche Artikel:
Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)
REvil Ransomware-Befall bei Acer? (März 2021)
Spanische Staatsbahn, ADIF, von Revil Ransomware befallen
Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall
Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland
Nachbereitung zum Kaseya-Lieferkettenangriff
Revil Ransomware-Hacker veröffentlichen erste Trump-Files
Ransomware, Datenlecks, Hacks, Schwachstellen (Juni 2021)
Ransomware-Angriffe: Tegut, Madsack und mehr … (26.4.2021)
Bitdefender stellt universellen REvil-Decryptor bereit
REvil Cyber-Gang stellt Aktivitäten nach Hijacking von Tor-Seiten ein


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Mutmaßlicher Hintermann der REvil-Gang in Russland identifiziert

  1. DiÜ sagt:

    Interessanter Artikel.

    Das führte zur Gründung der Ermittlungsgruppe "Krabbe" (Anlehnung an GandGrab), der…
    -soll wohl "(Anlehnung an GandCrab)" heißen-

  2. Luzifer sagt:

    dann kann das SEAL Team ja zuschlagen ;-P

    Da die USA ja vermehrt die Geheimdienste und das Militär in die Cyberabwehr einbinden wollen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.