Ransomware as a Service

Was steckt hinter REvil?

Die REvil-Gang, auch bekannt als Sodinokibi, ist für einen Gutteil der weltweiten Ransomware-Angriffe verantwortlich. Sie erpresst ihre Opfer mit dem Verschlüsseln von Daten und der Drohung, diese zu veröffentlichen.
Von 
CSO | 15. November 2021 05:12 Uhr

REvil vertreibt im Rahmen eines Affiliate-Programms Ransomware-as-a-Service-(RaaS)-Kits an Cyberkriminelle. Mit der Erpressersoftware wurden im vergangenen Jahr weltweit große Geldbeträge von Unternehmen erpresst. Der Name REvil steht für "Ransomware Evil" und wurde von der Film- und Gaming-Reihe Resident Evil inspiriert. Berichten von Sicherheitsfirmen zufolge handelt es sich um die weltweit größte Ransomware-Bedrohung. Die dahinterstehende Gruppe verschlüsselt nicht nur die IT-Systeme ihrer Opfer, sie stiehlt auch Geschäftsdaten und erpresst ihre Opfer mit der Drohung, diese zu veröffentlichen.

Was alle Gangster gemeinsam haben: Erpressung gehört zum Geschäft.
Was alle Gangster gemeinsam haben: Erpressung gehört zum Geschäft.
Foto: Pressmaster - shutterstock.com

REvil, auch bekannt als Sodinokibi, tauchte erstmals im April 2019 auf und wurde bekannt, nachdem eine andere RaaS-Gang namens GandCrab ihren Dienst eingestellt hatte. Forscher und Sicherheitsfirmen identifizierten REvil schnell als eine Variante von GandCrab und stellten diverse Verbindungen zwischen beiden fest. Ein mutmaßliches Mitglied der Gruppe mit dem Decknamen Unknown bestätigte kürzlich in einem Interview, dass die verwendete Software auf einer älteren Codebasis aufbaut, die die Gruppe erworben habe.

Die Entwickler von RaaS-Angeboten arbeiten mit anderen Cyberkriminellen zusammen, die dann die Angriffe durchführen. Die Urheber stecken 20 bis 30 Prozent der illegalen Erlöse ein, der Rest geht an die Partner, die sich auf verschiedensten Wegen Zugang zu Unternehmensnetzwerken verschaffen und die Malware darin verteilen.

Je erfolgreicher ein RaaS-Anbieter wie REvil ist, desto wahrscheinlicher ist es, dass er qualifizierte Partner anzieht. Beendet ein RaaS-Urheber wie beispielsweise GandCrab seine Aktivitäten, wechseln seine Partner in der Regel schnell zu einem anderen. Dies geschah in der Vergangenheit auch mit der Maze-Gruppe, deren Mitglieder vor wenigen Wochen ihren Rückzug ankündigten. Deren Partner schlossen sich umgehend einer neue Ransomware-Familie namens Egregor an, auch bekannt als Sekhmet.

Im Juli 2021 nutzten REvil-Mitglieder Zero-Day-Schwachstellen in einem Systemverwaltungs- und -überwachungs-Tool, das von einem Unternehmen namens Kaseya entwickelt wurde. Es gelang ihnen, über 30 Managed Service Provider (MSPs) aus der ganzen Welt zu kompromittieren - und damit in über 1.000 Unternehmensnetzwerke einzudringen, die von diesen MSPs verwaltet wurden.

Der Angriff erregte große Aufmerksamkeit in den Medien und löste sogar eine Diskussion zum Thema Ransomware zwischen US-Präsident Joe Biden und dem russischen Präsidenten Wladimir Putin aus. Kurz nach den Gesprächen war von REvil nichts mehr zu hören, was zu Spekulationen darüber führte, ob die russischen Strafverfolgungsbehörden gegen die Gang vorgegangen sein könnten. Kaseya erhielt von einer ungenannten "vertrauenswürdigen dritten Partei" einen Hauptentschlüsselungs-Key, der bei allen Opfern funktionierte.

Am 9. September berichteten dann aber Cybercrime-Analysten von Flashpoint, dass die Websites von REvil wieder online seien und ein Vertreter der Gruppe im Darknet erklärt habe, was passiert sei. Demnach hatte ein Programmierer ohne Erlaubnis einen Master-Key für die Entschlüsselung geschrieben und im Bundle mit individuellen Entschlüsselungs-Keys an zahlungsbereite Opfer geschickt. Flashpoint berichtet, dass die Gruppe nach ihrem plötzlichen Abtauchen nun wieder daran arbeite, die Beziehungen zu ihren Mitarbeitern und Partnern wiederherzustellen.

Wie erfolgreich ist REvil?

Im September berichtete das IBM Security X-Force Incident Response Team, dass einer von vier Cybersecurity-Vorfällen, zu deren Behebung es in diesem Jahr von Kunden herangezogen wurde, eine Ransomware-Infektion gewesen sei. Jeder dritte dieser Angriffe gehe auf REvil/Sodinokibi zurück.

REvil machte demnach 29 Prozent aller Ransomware-Einsätze der IBM Security X-Force im Jahr 2020 aus. Die Forscher kommen zu dem Ergebnis, dass die REvil-Akteure im Vergleich zu anderen Ransomware-Gruppen besser darin sind, sich Zugang zu Opfernetzwerken zu verschaffen. IBM Security X-Force schätzt, dass REvil seit seinem Auftauchen im April 2019 mindestens 140 Unternehmen angegriffen hat, wobei Großhandel, Fertigung und professionelle Dienstleistungen die bevorzugten Branchen waren. Rund 60 Prozent der Opfer sind Unternehmen aus den USA, gefolgt von Großbritannien, Australien und Kanada.

IBM vermutet außerdem, dass ein Drittel der Opfer das Lösegeld bezahlt hat und ebenfalls einem Drittel der Betroffenen sensible Daten gestohlen wurden. Von jedem zehnten Opfer seien sensible Daten im Darknet verkauft worden.

Die REvil-Bande scheint zudem ihre Lösegeldforderungen am Jahresumsatz ihres Opferunternehmens zu bemessen, wobei die Grenze von zehn Prozent bislang nicht überschritten wurde. Die Forderungen schwankten zwischen 1.500 und 42 Millionen US-Dollar. IBM hat auch einige Verknüpfungen zwischen REvil und einer cyberkriminellen Gruppe namens FIN7 - auch bekannt als Carbanak - festgestellt. Das könnte allerdings auch darauf zurückzuführen sein, dass bestimmte Partner mit beiden zusammenarbeiteten.

Die IBM-Forscher schätzen die Gewinne von REvil im vergangenen Jahr auf mindestens 81 Millionen Dollar. Ein Interview eines russischen Bloggers mit dem angeblichen Vertreter der REvil-Gruppe Unknown deutet darauf hin, dass die Erlöse noch höher sind. Der Cyberkriminelle behauptet, die Gruppe habe mit ihren Ransomware-Angriffen über 100 Millionen Dollar eingenommen. Ende September deponierte REvil 1 Million Dollar in Bitcoin in einem Hackerforum, um erfahrene Hacker für ihre Aktivitäten zu gewinnen, wie "BleepingComputer" berichtet.

Datendiebstahl, Erpressung und leere Versprechen

Kürzlich berichtete Coveware, ein Unternehmen, das Ransomware-Opfer unterstützt, dass REvil/Sodinokibi im dritten Quartal 2020 den größten Marktanteil unter den Ransomware-Gruppen auf sich vereinte und für 16 Prozent der Angriffe verantwortlich gewesen sei. Die Gruppe sei auch im Quartal davor führend gewesen. Knapp die Hälfte der untersuchten Ransomware-Fälle beinhalte demnach die Drohung, exfiltrierte Daten der Öffentlichkeit preiszugeben - Tendenz steigend.

"Wir glauben, dass bei der Taktik der Datenexfiltration ein Wendepunkt erreicht wurde", schreibt Coveware. Obwohl einige Betriebe bereit seien zu zahlen, damit Erpresser sensible Daten nicht veröffentlichen, zeige sich immer öfter, dass sich die Kriminellen nicht an ihre Zusage hielten, entwendete Daten zu löschen. Sie legten gefälschte Beweise vor, auch häuften sich die Fälle, in den Opfer, die bereits gezahlt hatten, einige Wochen später von REvil ein zweites Mal erpresst wurden - mit der Drohung, dieselben Daten doch noch zu veröffentlichen.

Coveware weist darauf hin, dass die Verschlüsselung von Daten mit dem Zusenden eines Entschlüsselungs-Key meistens beendet sei. Würden aber Daten entwendet und mit deren Veröffentlichung gedroht, beginne eine längere Phase des Leidens. "Mit gestohlenen Daten kann ein Angreifer immer wieder kommen und eine zweite Zahlung erpressen. Wir raten allen Opfern von Datenexfiltration, die unbequemen, aber verantwortungsvollen Schritte zu gehen." Dazu gehöre, sich von kompetenten Anwälten für Datenschutz beraten zu lassen, zu untersuchen, welche Daten entwendet wurden und alle zu benachrichtigen, die ein Recht darauf haben."

Wie Unknown, der Sprecher von REvil, gegenüber dem russischen Blogger sagte, schreckt die Gruppe nicht davor zurück, die Verhandlungen mit den Opfern durch zusätzlichen Druck zu beschleunigen. So werden durchaus Distributed-Denial-of-Service-(DDoS)-Angriffe auf Unternehmen gestartet, die sich in Verhandlungen widerspenstig zeigen.

Wie REvil funktioniert

REvil bietet ähnlich wie Ruyk oder WastedLocker eine Reihe von Tools und Techniken, um Netzwerke zu infiltrierenabzubilden, Administratorenrechte zu erlangen und die Ransomware auf allen Computern zu verteilen, um die Wirkung zu maximieren. Da die Software von verschiedenen Partnern verbreitet wird, unterscheiden sich die Angriffsvektoren. Die Palette der Zugriffsszenarien reicht von Phishing-Mails mit bösartigen Anhängen bis hin zu kompromittierten RDP-Anmeldeinformationen (Remote Desktop Protocol) und der Ausnutzung von Schwachstellen in öffentlich zugänglichen Diensten. Im vergangenen Jahr verschafften sich REvil-Hacker beispielsweise Zugang zu Systemen, indem sie eine bekannte Sicherheitslücke in Oracle Weblogic (CVE-2019-2725) ausnutzten.

Derzeit wird die Software hauptsächlich über kompromittierte RDP-Sitzungen (65 Prozent), Phishing (16 Prozent) und Software-Schwachstellen (8 Prozent) verbreitet, heißt es bei Coveware. Unknown bestätigte in seinem Interview auch, dass viele REvil-Partner Brute-Force-Angriffe nutzen, um RDP zu kompromittieren.

REvil unterscheidet sich von anderen Ransomware-Programmen durch die Verwendung des Diffie-Hellman-Schlüsselaustauschs mit elliptischen Kurven. Dabei handelt es sich um ein asymmetrisches Kryptoverfahren mit unterschiedlichen Schlüsseln für die Ver- und Entschlüsselung. Anders als AES verwenden die kryptografischen Algorithmen kürzere Schlüssel, sind äußerst effizient und können bei korrekter Implementierung kaum geknackt werden.

Die Ransomware beendet zunächst einige Prozesse auf den infizierten Computern, darunter E-Mail-Clients, SQL- und andere Datenbankserver, Microsoft Office-Programme, Browser und verschiedene Tools, die wichtige Dateien verschlüsselt oder im RAM gesichert haben könnten. Anschließend löscht sie Windows-Schattenkopien von Dateien und andere Backups, um eine Wiederherstellung von Dateien zu verhindern.

Wie man sich vor REvil schützen kann

Unternehmen sollten ihren Remote Access mit starken Passwörtern und einer Zwei-Faktor-Authentifizierung absichern und diese Dienste gegebenenfalls nur über VPN bereitstellen. Alle öffentlich zugänglichen Server, Anwendungen und Geräte sollten immer auf dem neuesten Stand gehalten und regelmäßig auf Schwachstellen, Fehlkonfigurationen und verdächtiges Verhalten gescannt werden. Brute-Force-Schutzmaßnahmen, die gehäufte Login-Versuche mit falschen Zugangsdaten blockieren, sollten aktiviert werden, wann immer möglich.

Innerhalb lokaler Netzwerke empfehlen sich folgende Maßnahmen:

  • Blockieren Sie nicht benötigte SMB- und RPC-Kommunikation zwischen Endpoints, die für laterale Bewegungen genutzt werden kann.

  • überwachen Sie privilegierte Accounts, etwa von Admins, auf verdächtiges Verhalten.

  • Verringern Sie die Angriffsfläche an den Endpoints durch strenge Zugriffskontroll-Regeln für Ordner und Prozesse.

  • Sichern Sie Netzwerkfreigaben.

  • Schulen Sie Ihre Mitarbeiter, damit sie Phishing-Versuche erkennen.

  • Führen Sie einen Datensicherungsprozess ein, der Backups außerhalb des Unternehmens speichert und prüft, ob sich Backups zeitnah wiederherstellen lassen.

  • Arbeiten Sie einen Notfallplan aus, damit Sie sofort die richtigen Maßnahmen ergreifen können, wenn ein Angriff entdeckt wurde. Es sollte klar sein, wer an diesem Prozess beteiligt ist und welche Aufgaben er hat. Das NIST hat einen Entwurf eines Leitfadens zur Erkennung von und Reaktion auf Ransomware veröffentlicht.

Den Coveware-Experten zufolge sind bestimmte Branchen, wie zum Beispiel das Gesundheitswesen, aufgrund der besonders sensiblen Daten und dem hohen Druck, Ausfallzeiten zu vermeiden, stärker betroffen als andere. Allerdings sei auch zu beobachten, dass in manchen Branchen einfach auszunutzende Schwachstellen häufiger vorkämen als in anderen. Deshalb seien hier gehäuft Angriffe zu beobachten.

Beispielsweise seien bestimmte Serviceunternehmen, darunter Anwaltskanzleien und Wirtschaftsprüfungsgesellschaften, besonders anfällig. In den USA gebe es 4,2 Millionen Firmen die zu dieser Gruppe gehörten, sie machten rund 14 Prozent aller Unternehmen im Lande aus. Aber 25 Prozent alles Ransomware-Angriffe entfielen auf diese Betriebe.

Den Experten zufolge lassen diese Betriebe häufig Schwachstellen wie RDP für das Internet offen und werden so häufiger Opfer. "Es ist wichtig, dass kleine Dienstleistungsunternehmen erkennen, dass sie keineswegs zu klein sind, um von Angreifern ins Visier genommen zu werden. Wenn Sie dem Internet eine offene Flanke zeigen, werden Sie angegriffen. Es ist nur eine Frage des Wann, nicht des Ob."

Lucian Constantin arbeitet als Korrespondent für den IDG News Service.