{"id":258703,"date":"2021-10-18T19:27:08","date_gmt":"2021-10-18T17:27:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258703"},"modified":"2022-05-02T13:22:56","modified_gmt":"2022-05-02T11:22:56","slug":"revil-cyber-gang-stellt-aktivitten-nach-hijacking-von-tor-knoten-ein","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/10\/18\/revil-cyber-gang-stellt-aktivitten-nach-hijacking-von-tor-knoten-ein\/","title":{"rendered":"REvil Cyber-Gang stellt Aktivitäten nach Hijacking von Tor-Seiten ein"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die REvil Cyber-Gang scheint erneut ihre Aktivit\u00e4ten komplett eingestellt zu haben, seit sie k\u00fcrzlich aus der Versenkung wieder aufgetaucht waren. Hintergrund f\u00fcr den erneuten Exit ist wohl der Umstand, dass einzelne Tor-Seiten wohl \u00fcbernommen worden sind. Damit bleibt die REvil Cyber-Gang einmal mehr in den Schlagzeilen, nachdem k\u00fcrzlich bekannt wurde, dass die Gang auch eigene Partner \u00fcber den Tisch gezogen und ausgebootet hat.<\/p>\n

<\/p>\n

R\u00fcckblick auf die REvil-Gruppe<\/h2>\n

Die REvil-Ransomware-Gang<\/a> (auch\u00a0 unter dem Namen Sodinokibi bekannt) ist eine der aggressivsten\u00a0 Cyber-Akteure der letzten Zeit, die \u201eRansomware as a Service\" anboten. Zur Vermarktung verwendet die Gruppe eine Art Affiliate-Programm<\/i>, bei dem Dritte ihre Malwareprogramme f\u00fcr kriminelle Zwecke benutzen d\u00fcrfen. Von den erpressten Geldern erh\u00e4lt die Gruppe dann einen Teil als Provision.<\/p>\n

Der Angriff auf den Fleischverpacker JBS<\/a> und zuletzt der Lieferkettenangriff auf den US-Hersteller Kaseya (siehe Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a>) hat jede Menge Staub aufgewirbelt. Aber auch kleinere Firmen wurden Opfer der Gang. Mitte Juli 2021 wurden die Webseiten der REvil-Gruppe sowie deren Payment-Server sowie die Infrastruktur abgeschaltet (ich hatte im Blog-Beitrag Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet<\/a> berichtet).<\/p>\n

Vor wenigen Wochen war einmal ein Decryptor f\u00fcr REvil-verschl\u00fcsselte Dateien ver\u00f6ffentlicht worden (Bitdefender stellt universellen REvil-Decryptor bereit<\/a>). Weiterhin wurde bekannt, dass die Ransomware-Gang ihre eigenen Partner \u00fcbers Ohr gehauen hatte. W\u00e4hrend die Gangs, die die Dienste von REvil gebucht und Opfer infiziert hatten, noch \u00fcber L\u00f6segeld verhandelten, klinkten sich die REvil-Leute in diese Verhandlungen ein und \u00fcbernahmen das L\u00f6segeld. Heise hatte in diesem Artikel<\/a> berichtet.<\/p>\n

REvil taucht auf und verschwindet erneut<\/h2>\n

Wenn ich es richtig mitbekommen habe, gab es Mitte September 2021 dann die Mitteilung, dass die REvil Ransomware-Gruppe wieder aktiv sei. Denn am 7. September 2021 waren die Tor-Seiten f\u00fcr Verhandlungen, Datenleck und Zahlungen pl\u00f6tzlich wieder erreichbar. Einen Tag sp\u00e4ter war es wieder m\u00f6glich, sich auf der Tor-Bezahlseite einzuloggen und mit der Gang in Verhandlungen zu treten. Die Kollegen von Bleeping Computer hatten hier beispielsweise berichtet<\/a>.<\/p>\n

\"REvil\"<\/a><\/p>\n

Verschiedene Webseiten, u.a. obiger Tweet<\/a> und dieser Artikel<\/a> von Bleeping Computer berichten nun aber, dass die REvil-Gang erneut abgetaucht sei. Ein Unbekannter habe das Tor-Zahlungsportal und den Blog, auf dem Datenleck ver\u00f6ffentlicht wurden, gekapert, hei\u00dft es. Die Information wurde wohl von jemand, der mit der REvil-Gruppe in Verbindung steht, im XSS-Hacking-Forum gepostet. Dort hei\u00dft es, dass jemand die Domains der REvil-Gang gekapert habe.<\/p>\n

Entdeckt wurde dies von Dmitry Smilyanets von Recorded Future<\/a>. Dessen Nachricht besagt, dass eine unbekannte Person die versteckten Tor-Dienste (Onion-Domains) mit denselben privaten Schl\u00fcsseln wie die Tor-Seiten von REvil gekapert hat und wahrscheinlich Backups der Seiten hat. In einem Post hei\u00dft es (siehe<\/a>):<\/p>\n

Der Server war kompromittiert und sie suchten nach mir. Um genau zu sein, l\u00f6schten sie den Pfad zu meinem hidden Service in der torrc-Datei und und setzten ihren eigenen Pfad ein, so dass ich (sic) dorthin gehen w\u00fcrde. Ich habe es bei anderen \u00fcberpr\u00fcft – das war nicht der Fall. Viel Gl\u00fcck an alle, ich bin weg.<\/p><\/blockquote>\n

Was genau hinter der Geschichte steckt, wer den Angreifer ist und was bezweckt wird, ist aber unklar.<\/p>\n

Erg\u00e4nzung:<\/strong> heise schreibt hier,<\/a> dass REvil wegen Kompromittierung der Tor-Server durch das FBI die Aktivit\u00e4ten eingestellt habe.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nServer und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet<\/a>
\nCoop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a>
\nREvil Ransomware-Befall bei 200 Firmen \u00fcber Kaseya VSA und Management Service Provider (MSP)<\/a>
\nREvil Ransomware-Befall bei Acer? (M\u00e4rz 2021)<\/a>
\nSpanische Staatsbahn, ADIF, von Revil Ransomware befallen<\/a>
\nNeues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall<\/a>
\nKaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a>
\nNachbereitung zum Kaseya-Lieferkettenangriff<\/a>
\nRevil Ransomware-Hacker ver\u00f6ffentlichen erste Trump-Files<\/a>
\nRansomware, Datenlecks, Hacks, Schwachstellen (Juni 2021)<\/a>
\nRansomware-Angriffe: Tegut, Madsack und mehr \u2026 (26.4.2021)<\/a>
\nBitdefender stellt universellen REvil-Decryptor bereit<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die REvil Cyber-Gang scheint erneut ihre Aktivit\u00e4ten komplett eingestellt zu haben, seit sie k\u00fcrzlich aus der Versenkung wieder aufgetaucht waren. Hintergrund f\u00fcr den erneuten Exit ist wohl der Umstand, dass einzelne Tor-Seiten wohl \u00fcbernommen worden sind. Damit bleibt die REvil … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-258703","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258703","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258703"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258703\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258703"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258703"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258703"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}