#REvil
Ist REvil zurück?
Foto: KDdesignphoto - shutterstock.com
Angebliche Beweise für die Rückkehr der Ransomware-Gruppe sind online aufgetaucht: Die Server von REvil sind im Tor-Netzwerk wieder verfügbar. In einem Blog, den REvil angeblich veröffentlicht hat, nennt die Gruppe zwei neue Opfer. Eines davon ist Oil India, das zweitgrößte nationale Öl- und Gasunternehmen in Indien. Das andere Opfer ist Visotec, ein französischer Spezialist für Lichtwerbelösungen.
?? Revil Ransomware Gang is Back !! ???? #ransomware
— Daily Dark Web (@DailyDarkWeb) April 21, 2022
A new ransomware blog has been discovered, which also includes old announcements and two new victims. But on a popular Russian hacker forum, some users claimed that the new operation could be a scam or fake.#darkweb #revil pic.twitter.com/cMZgkOKlM4
Auch die Stratford University wird bedroht:
#Ransom | #Ransomware: non è chiaro chi ci sia dietro, ma #REvil è di nuovo, pesantemente, all'opera. pic.twitter.com/u8yO7OmG4G
— Claudio (@sonoclaudio) April 24, 2022
Ist es möglich, dass die REvil wieder aktiv ist? In der IT-Branche herrscht Uneinigkeit darüber. Die Drohungen gegen die beiden Unternehmen könnten Fake sein: Im November vergangenen Jahres wurden bereits mehrere Mitglieder von REvil festgenommen, und im März 2022 ein Ukrainer, der angeklagt wurde, hinter dem Ransomware-Angriff auf Kaseya zu stecken. Vielleicht handelt es sich nur um Trittbrettfahrer, die die Bekanntheit von REvil ausnutzen wollen, um Angst zu schüren.
Lesetipp: Sicherheitsexperten entdecken neue Emotet-Angriffe
REvil-Nachahmer
Bleeping Comuter veröffentlichte einen Beitrag mit detaillierten Informationen sowie einer Timeline der mutmaßlichen Aktivitäten von REvil. Dabei zitieren die Autoren den Twitter-Nutzer "pancak3" der am 19. April entdeckte, dass der REvil-Blog auf "RuTOR" beworben wurde, einem Marktplatz im Darknet mit Fokus auf russischsprachige Regionen.
REvil imposters/scammers?
— pancak3 (@pancak3lullz) April 19, 2022
Who uses RUTOR for ransomware adverts?
“The same proven (but improved) software” lol pic.twitter.com/RbEUbatYOL
Der Blog würde zwar auf einer anderen Domain gehostet, als die bisherige Leak-Webseite von REvil, verlinke aber zu genau dieser alten Webseite. Twitter-Nutzer pancak3 war in der Lage, der Weiterleitung zu folgen:
Looks like the redirect is back (for now). I was able to capture it for everyone. pic.twitter.com/k8smibQaWX
— pancak3 (@pancak3lullz) April 20, 2022
Bleeping Computer verlinkt auch einen Twitter Post der Sicherheitsexperten des "MalwareHunterTeam", die bereits Mitte Dezember 2021 Aktivitäten der Ransomware-Bande "Ransom Cartel" bemerkt hatten, eine Gruppe die in Verbindung zu REvil stehen soll.
There is a new ransomware gang that started working around the middle of December or earlier. There is only a few tweet related to them yet. No samples seen yet.
— MalwareHunterTeam (@malwrhunterteam) January 21, 2022
But we already can tell it is related to REvil in one way - question is how exactly.
??@demonslay335 @VK_Intel https://t.co/NQGf7iwuzG
Das muss jedoch noch nichts heißen. Später schreiben die Autoren von Bleeping Computer nämlich, dass die neue Leak-Seite, die angeblich von REvil stammt, ein Cookie namens "Deadbeef" ablegt. Diesen verwende auch die Ransomware "TeslaCrypt".
Verbesserte REvil-Ransomware
Doch es gibt auch Experten, die bereits damit gerechnet hatten, dass REvil wieder aktiv werden könnte. Oder zumindest deren Ransomware. Denn die neu veröffentlichte Leak-Seite enthält die "Geschäftsbedingungen" für kriminelle Hacker, die die angeblich verbesserte Ransomware nutzen möchten:
Who's Behind Attempt to Reboot #REvil #Ransomware Operation? #Cybersecurity #Cyberattacks #Malware #Sodinokibi #Hackers #DataBreaches #Vulnerabilities #HappyBlog #OilIndia #Russia #Ukraine #RussiaUkraineConflict https://t.co/elyaN1KhC9
— IoT Marketing LLC (@iot_marketing) April 21, 2022
Es ist nicht ungewöhnlich, dass eine Ransomware im Umlauf bleibt, die ein solch lukratives Geschäft bietet, wie die von REvil – selbst, wenn die ursprünglichen Entwickler möglicherweise nicht mehr dahinter stecken. Eine klare Aussage, ob REvil zurück ist, lässt sich aktuell noch nicht treffen. Es gilt nun, die Aktivitäten weiter zu verfolgen.