#REvil

Ist REvil zurück?

Unter dem Twitter-Hashtag #REvil sammeln sich Postings darüber, dass die berüchtigte Hacker-Gruppe möglicherweise wieder aktiv ist. Was steckt hinter den Spekulationen?
Von 
CSO | 28. April 2022 09:30 Uhr
Nachahmer oder Original? Eine verbesserte Version der REvil-Ransomware ist im Darknet verfügbar. Ob die Gruppe selbst dahinter steckt, ist unklar.
Nachahmer oder Original? Eine verbesserte Version der REvil-Ransomware ist im Darknet verfügbar. Ob die Gruppe selbst dahinter steckt, ist unklar.
Foto: KDdesignphoto - shutterstock.com

Angebliche Beweise für die Rückkehr der Ransomware-Gruppe sind online aufgetaucht: Die Server von REvil sind im Tor-Netzwerk wieder verfügbar. In einem Blog, den REvil angeblich veröffentlicht hat, nennt die Gruppe zwei neue Opfer. Eines davon ist Oil India, das zweitgrößte nationale Öl- und Gasunternehmen in Indien. Das andere Opfer ist Visotec, ein französischer Spezialist für Lichtwerbelösungen.

Auch die Stratford University wird bedroht:

Ist es möglich, dass die REvil wieder aktiv ist? In der IT-Branche herrscht Uneinigkeit darüber. Die Drohungen gegen die beiden Unternehmen könnten Fake sein: Im November vergangenen Jahres wurden bereits mehrere Mitglieder von REvil festgenommen, und im März 2022 ein Ukrainer, der angeklagt wurde, hinter dem Ransomware-Angriff auf Kaseya zu stecken. Vielleicht handelt es sich nur um Trittbrettfahrer, die die Bekanntheit von REvil ausnutzen wollen, um Angst zu schüren.

Lesetipp: Sicherheitsexperten entdecken neue Emotet-Angriffe

REvil-Nachahmer

Bleeping Comuter veröffentlichte einen Beitrag mit detaillierten Informationen sowie einer Timeline der mutmaßlichen Aktivitäten von REvil. Dabei zitieren die Autoren den Twitter-Nutzer "pancak3" der am 19. April entdeckte, dass der REvil-Blog auf "RuTOR" beworben wurde, einem Marktplatz im Darknet mit Fokus auf russischsprachige Regionen.

Der Blog würde zwar auf einer anderen Domain gehostet, als die bisherige Leak-Webseite von REvil, verlinke aber zu genau dieser alten Webseite. Twitter-Nutzer pancak3 war in der Lage, der Weiterleitung zu folgen:

Bleeping Computer verlinkt auch einen Twitter Post der Sicherheitsexperten des "MalwareHunterTeam", die bereits Mitte Dezember 2021 Aktivitäten der Ransomware-Bande "Ransom Cartel" bemerkt hatten, eine Gruppe die in Verbindung zu REvil stehen soll.

Das muss jedoch noch nichts heißen. Später schreiben die Autoren von Bleeping Computer nämlich, dass die neue Leak-Seite, die angeblich von REvil stammt, ein Cookie namens "Deadbeef" ablegt. Diesen verwende auch die Ransomware "TeslaCrypt".

Verbesserte REvil-Ransomware

Doch es gibt auch Experten, die bereits damit gerechnet hatten, dass REvil wieder aktiv werden könnte. Oder zumindest deren Ransomware. Denn die neu veröffentlichte Leak-Seite enthält die "Geschäftsbedingungen" für kriminelle Hacker, die die angeblich verbesserte Ransomware nutzen möchten:

Es ist nicht ungewöhnlich, dass eine Ransomware im Umlauf bleibt, die ein solch lukratives Geschäft bietet, wie die von REvil – selbst, wenn die ursprünglichen Entwickler möglicherweise nicht mehr dahinter stecken. Eine klare Aussage, ob REvil zurück ist, lässt sich aktuell noch nicht treffen. Es gilt nun, die Aktivitäten weiter zu verfolgen.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.