{"id":258897,"date":"2021-10-28T09:50:04","date_gmt":"2021-10-28T07:50:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258897"},"modified":"2021-10-28T13:13:03","modified_gmt":"2021-10-28T11:13:03","slug":"mutmalicher-hintermann-der-revil-gang-in-russland-identifiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/10\/28\/mutmalicher-hintermann-der-revil-gang-in-russland-identifiziert\/","title":{"rendered":"Mutmaßlicher Hintermann der REvil-Gang in Russland identifiziert"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Ransomware-Gang REvil ist ja f\u00fcr viele Cyber-Angriffe ber\u00fcchtigt. Nachdem die Infrastruktur durch Strafverfolger ausgehoben wurde, verschwand die Gruppe, kam wieder und verschwand erneut. Aber wer sind die Drahtzieher bzw. Hinterm\u00e4nner dieser Gruppe. Deutschen Ermittlern ist es nun gelungen, ein Mitglied der Kerngruppe – inzwischen Million\u00e4r – hinter der ber\u00fcchtigten Schadsoftware Revil in Russland zu identifizieren.<\/p>\n

<\/p>\n

Hintergrund zur REvil-Gruppe<\/h2>\n

\"\"Die Aktivit\u00e4ten der REvil-Gang waren hier im Blog ja Gegenstand diverser Artikel. \"\"Die REvil-Ransomware-Gang<\/a> (auch\u00a0 unter dem Namen Sodinokibi bekannt) geh\u00f6rte zu einer der aggressivsten\u00a0 Cyber-Akteure der letzten Zeit, die \u201eRansomware as a Service\" anboten. Zur Vermarktung verwendete die Gruppe eine Art Affiliate-Programm<\/i>, bei dem Dritte ihre Malwareprogramme f\u00fcr kriminelle Zwecke benutzen d\u00fcrfen. Von den erpressten Geldern erh\u00e4lt die Gruppe dann einen Teil als Provision.<\/p>\n

Der Angriff auf den Fleischverpacker JBS<\/a> und zuletzt der Lieferkettenangriff auf den US-Hersteller Kaseya (siehe Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a>) hat jede Menge Staub aufgewirbelt. Aber auch kleinere Firmen wurden Opfer der Gang. Mitte Juli 2021 wurden die Webseiten der REvil-Gruppe sowie deren Payment-Server sowie die Infrastruktur abgeschaltet (ich hatte im Blog-Beitrag Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet<\/a> berichtet).<\/p>\n

Vor wenigen Wochen war einmal ein Decryptor f\u00fcr REvil-verschl\u00fcsselte Dateien ver\u00f6ffentlicht worden (Bitdefender stellt universellen REvil-Decryptor bereit<\/a>). Weiterhin wurde bekannt, dass die Ransomware-Gang ihre eigenen Partner \u00fcbers Ohr gehauen hatte. W\u00e4hrend die Gangs, die die Dienste von REvil gebucht und Opfer infiziert hatten, noch \u00fcber L\u00f6segeld verhandelten, klinkten sich die REvil-Leute in diese Verhandlungen ein und \u00fcbernahmen das L\u00f6segeld. Heise hatte in diesem Artikel<\/a> berichtet. Vor einigen Tagen waren Akteure der Gruppe wieder online, stellten die Operationen aber wieder ein, nachdem Tor-Server kompromittiert wurden (siehe REvil Cyber-Gang stellt Aktivit\u00e4ten nach Hijacking von Tor-Seiten ein<\/a>).<\/p>\n

Ein Hintermann identifiziert<\/h2>\n

An die Hinterm\u00e4nner dieser Gruppen heranzukommen, ist ein schwieriges Unterfangen. Ich bin gerade auf Twitter \u00fcber nachfolgenden Tweet<\/a> darauf gesto\u00dfen, dass deutsche Strafverfolger wohl Erfolg bei diesem Ansatz hatten. LKA-Ermittler haben Bitcoin-L\u00f6segeldzahlungen in diversen Erpressungsf\u00e4lle nachverfolgt und wurden f\u00fcndig.<\/p>\n

\"REvil-Hintermann<\/a><\/p>\n

BR (Artikel<\/a>) und Zeit Online (Artikel<\/a>) haben in dieser Angelegenheit recherchiert. Ein mutma\u00dflicher Drahtzieher der REvil-Gruppe lebt unbehelligt in Russland und f\u00fchrt einen luxuri\u00f6sen Lebensstil. Der Mann agiert offiziell als \"H\u00e4ndler von Kryptogeld\", aber die Ermittler des Bundeskriminalamts (BKA) und LKA Baden-W\u00fcrttemberg gehen davon aus, dass das Verm\u00f6gen der Person aus L\u00f6segeldern der REvil-Gang (und dem Vorg\u00e4nger GandGrab) erzielt wurde.<\/p>\n

Laut den Recherchen des BR und der Zeit kamen die Ermittler in monatelangen Nachforschungen dem mutma\u00dflichen T\u00e4ter durch Analyse der Bitcoin-Zahlungen auf die Spur. Hintergrund war eine Anzeige eines Software-Entwicklers aus Stuttgart aus dem Jahr 2019. Die Cyber-Kriminellen waren damals an die Zugangsdaten eines Mitarbeiters gekommen. Dadurch gelang es der REvil-Gruppe in die Systeme einiger Kunden einzudringen. Auch das Staatstheater Stuttgart war unter den Opfern und hat wohl L\u00f6segeld gezahlt.<\/p>\n

Das f\u00fchrte zur Gr\u00fcndung der Ermittlungsgruppe \"Krabbe\" (Anlehnung an \"GandGrab\"), der jetzt der Ermittlungserfolg gelang. Ein internationaler Haftbefehl soll wohl in der Beantragung sein. Es ist aber unwahrscheinlich, dass die betroffene Person verhaftet und dann ausgeliefert wird und dass der russische Staat die Verm\u00f6gensbestandteile beschlagnahmt. In diesem BR-Artikel<\/a> hei\u00dft es, Reportern von BR und Zeit Online sei es gelungen, die Spuren des Verd\u00e4chtigen Spuren zu folgen, die dieser im Netz hinterlassen habe. So fanden sich etwa Fotos aus seiner Jugend, noch ohne teure Uhren und Designerkleidung. Zudem gibt es Anhaltspunkte im Internet, die Zahlungen aus Ransomware-F\u00e4llen nahelegen. Die Details sind in den verlinkten Artikeln nachlesbar.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nServer und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet<\/a>
\nCoop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a>
\nREvil Ransomware-Befall bei 200 Firmen \u00fcber Kaseya VSA und Management Service Provider (MSP)<\/a>
\nREvil Ransomware-Befall bei Acer? (M\u00e4rz 2021)<\/a>
\nSpanische Staatsbahn, ADIF, von Revil Ransomware befallen<\/a>
\nNeues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall<\/a>
\nKaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a>
\nNachbereitung zum Kaseya-Lieferkettenangriff<\/a>
\nRevil Ransomware-Hacker ver\u00f6ffentlichen erste Trump-Files<\/a>
\nRansomware, Datenlecks, Hacks, Schwachstellen (Juni 2021)<\/a>
\nRansomware-Angriffe: Tegut, Madsack und mehr \u2026 (26.4.2021)<\/a>
\nBitdefender stellt universellen REvil-Decryptor bereit<\/a>
\nREvil Cyber-Gang stellt Aktivit\u00e4ten nach Hijacking von Tor-Seiten ein<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Ransomware-Gang REvil ist ja f\u00fcr viele Cyber-Angriffe ber\u00fcchtigt. Nachdem die Infrastruktur durch Strafverfolger ausgehoben wurde, verschwand die Gruppe, kam wieder und verschwand erneut. Aber wer sind die Drahtzieher bzw. Hinterm\u00e4nner dieser Gruppe. Deutschen Ermittlern ist es nun gelungen, ein … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-258897","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258897","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258897"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258897\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258897"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258897"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258897"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}