{"id":255646,"date":"2021-07-14T02:20:08","date_gmt":"2021-07-14T00:20:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255646"},"modified":"2021-07-14T11:45:56","modified_gmt":"2021-07-14T09:45:56","slug":"server-und-infrastruktur-der-revil-ransomware-gruppe-ist-abgeschaltet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/14\/server-und-infrastruktur-der-revil-ransomware-gruppe-ist-abgeschaltet\/","title":{"rendered":"Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Webseiten sowie die Infrastruktur der REvil-Ransomware-Gruppe ist seit vorige Nacht pl\u00f6tzlich abgeschaltet bzw. offline. Selbst die Server, \u00fcber die die Bezahlung der Opfer abgewickelt wird, ist nicht mehr erreichbar. Aktuell ist v\u00f6llig unklar, was hinter diesem Sachverhalt steckt – und ob die Gruppe von staatlicher Seite geerdet wurde.<\/p>\n

<\/p>\n

\"\"Die REvil-Ransomware-Gang<\/a> (auch\u00a0 unter dem Namen Sodinokibi bekannt) ist eine der aggressivsten\u00a0 Cyber-Akteure der letzten Zeit, die \u201eRansomware as a Service\" anboten. Zur Vermarktung verwendet die Gruppe eine Art Affiliate-Programm<\/i>, bei dem Dritte ihre Malwareprogramme f\u00fcr kriminelle Zwecke benutzen d\u00fcrfen. Von den erpressten Geldern erh\u00e4lt die Gruppe dann einen Teil als Provision. Der Angriff auf den Fleischverpacker JBS<\/a> und zuletzt der Lieferkettenangriff auf den US-Hersteller Kaseya (siehe Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a>) hat jede Menge Staub aufgewirbelt. Im Beitrag Ransomware-Angriffe: Brenntag-Tochter, irisches Gesundheitssystem, Hacker erpressen Gie\u00dfener M\u00f6belhaus Sommerlad<\/a> hatte ich im Mai 2021 bereits angedeutet, dass die REvil-Gruppe nach der Beschlagnahme der Darkside-Server angek\u00fcndigt hatte, ihre Aktivit\u00e4ten zur\u00fcckzufahren und das Angebot nicht mehr aktiv zu bewerben.<\/p>\n

REvil Server und Infrastruktur abgeschaltet<\/h2>\n

Seit vorherige Nacht sind die Webseiten der REvil-Gruppe sowie deren Payment-Server sowie die Infrastruktur verschwunden bzw. abgeschaltet worden. Das geht aus nachfolgendem Tweet<\/a> und diesem Beitrag<\/a> bei Bleeping Computer hervor.<\/p>\n

\"REvil<\/a><\/p>\n

Wer die Onion-Seite der Gruppe aufrufen m\u00f6chte, bekommt den Hinweis, dass die Seite nicht gefunden wird. In diesem Tweet<\/a> schreibt jemand, dass die REvil-Seiten seit dem 13. Juli 2021, 1:00 morgens (Eastern Standard Time, EST) nicht mehr erreichbar seien. Die Fehlermeldung bedeutet im Allgemeinen, dass die Onion-Seite offline ist oder deaktiviert wurde. Bleeping Computer schreibt, dass es nicht ungew\u00f6hnlich sei, dass REvil-Seiten f\u00fcr einige Zeit nicht erreichbar seien. Aber es sei ungew\u00f6hnlich, dass alle Seiten der REvil-Infrastruktur gleichzeitig abgeschaltet werden. Au\u00dferdem seit die decoder[.]re clear-Webseite nicht mehr durch DNS-Anfragen aufl\u00f6sba. Das k\u00f6nnte darauf hindeuten, dass die DNS-Eintr\u00e4ge f\u00fcr die Domain entfernt wurden oder dass die Backend-DNS-Infrastruktur abgeschaltet wurde.<\/p>\n

Aktuell ist vollst\u00e4ndig unklar, was dahinter steckt und ob dort die Infrastruktur gezielt abgeschaltet wurde (es hatte ja einen Kontakt zwischen US-Pr\u00e4sident Joe Biden und Russlands Pr\u00e4sident Putin zu dieser Frage gegeben). Am Nachmittag des 13. Juli postete der Vertreter der LockBit-Ransomware im russischsprachigen XSS-Hacking-Forum eine Nachricht, dass es Ger\u00fcchte g\u00e4be, dass die REvil-Gang ihre Server gel\u00f6scht habe, nachdem sie von einer Vorladung der Regierung erfahren hat. Dazu hei\u00dft es: bei Bleeping Computer:<\/p>\n

Nach unbest\u00e4tigten Informationen hat die REvil-Gruppe eine rechtliche Anfrage der russischen Regierung erhalten, die REvil dazu zwang, die Serverinfrastruktur komplett zu l\u00f6schen und zu verschwinden. Jedoch, es nicht best\u00e4tigt.<\/p><\/blockquote>\n

Kurz darauf verbannte der XSS-Admin den \u00f6ffentlich auftretenden Vertreter der REvil-Ransomware-Gang, namens Unknown, aus dem Forum. In diesem Tweet<\/a> vermutet aber jemand, dass die REvil-Gruppe lediglich ihre Infrastruktur wechselt, nachdem sie im Fokus der Strafverfolger stehen. Erg\u00e4nzung:<\/strong> Die Kollegen von heise haben inzwischen hier<\/a> einen deutschsprachigen Artikel zum Thema ver\u00f6ffentlicht.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSpanische Staatsbahn, ADIF, von Revil Ransomware befallen<\/a>
\nREvil Ransomware-Befall bei Acer? (M\u00e4rz 2021)<\/a>
\nREvil Ransomware-Befall bei 200 Firmen \u00fcber Kaseya VSA und Management Service Provider (MSP)<\/a>
\nCoop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a>
\nNeues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall<\/a>
\nKaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a>
\nNachbereitung zum Kaseya-Lieferkettenangriff<\/a>
\nRevil Ransomware-Hacker ver\u00f6ffentlichen erste Trump-Files<\/a>
\nRansomware, Datenlecks, Hacks, Schwachstellen (Juni 2021)<\/a>
\nRansomware-Angriffe: Tegut, Madsack und mehr \u2026 (26.4.2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Webseiten sowie die Infrastruktur der REvil-Ransomware-Gruppe ist seit vorige Nacht pl\u00f6tzlich abgeschaltet bzw. offline. Selbst die Server, \u00fcber die die Bezahlung der Opfer abgewickelt wird, ist nicht mehr erreichbar. Aktuell ist v\u00f6llig unklar, was hinter diesem Sachverhalt steckt – … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-255646","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255646","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255646"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255646\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255646"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255646"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255646"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}