Nach Angaben des russischen Geheimdienstes FSB wurden Verstecke der Bande gestürmt, Geld, Autos und Personal beschlagnahmt und die Infrastruktur von REvil neutralisiert.
Der russische Föderale Sicherheitsdienst (FSB) hat am Freitag auf Ersuchen der US-Behörden die Ransomware-Bande REvil „liquidiert“, wie er mitteilte.
Die wichtigste Sicherheitsbehörde des Landes führte lokalen Berichten zufolge Razzien in Leningrad, Lipezk, Moskau und St. Petersburg durch und beschlagnahmte Vermögenswerte im Wert von mehr als 5,6 Millionen Dollar (426 Millionen Rubel) in verschiedenen Formen, darunter 600.000 Dollar, 500.000 Euro, verschiedene Kryptowährungsbeträge und 20 Luxusfahrzeuge.
Insgesamt 14 mutmaßliche Cyberkriminelle wurden nach Angaben des FSB bei der Razzia ebenfalls gefasst, die wegen „illegaler Verbreitung von Zahlungsmitteln“ angeklagt sind; und der Sicherheitsdienst sagte, dass er die Infrastruktur der Bande „neutralisiert“ hat.
Der Anstoß für den Angriff war Berichten zufolge eine formelle Aufforderung der US-Behörden zum Handeln, „die über den Anführer der kriminellen Gemeinschaft und seine Beteiligung an Übergriffen auf die Informationsressourcen ausländischer High-Tech-Unternehmen durch die Einführung von Schadsoftware, die Verschlüsselung von Informationen und die Erpressung von Geld für deren Entschlüsselung berichteten“, so eine Medienerklärung des FSB.
Sie fügte hinzu: „Als Ergebnis der gemeinsamen Aktionen des FSB und des russischen Innenministeriums hat die organisierte kriminelle Gemeinschaft aufgehört zu existieren, die für kriminelle Zwecke genutzte Informationsinfrastruktur wurde neutralisiert. Die Vertreter der zuständigen US-Behörden wurden über die Ergebnisse der Operation informiert.“
Der Schritt kommt zwei Wochen nach einem wichtigen Telefongespräch zwischen dem russischen Präsidenten Wladimir Putin und dem US-Präsidenten Joe Biden, der seit Monaten ein Vorgehen gegen die in Russland ansässigen Ransomware-Banden fordert.
REvil (auch bekannt als Sodinokibi) war einst ein wichtiger Akteur im Erpressungsgeschäft mit Ransomware, der große Netzwerke (wie z. B. JBS Foods) lahmlegte und Lösegeldzahlungen in Millionenhöhe erpresste. Letztes Jahr machte das Unternehmen Schlagzeilen mit den ausgedehnten Zero-Day-Angriffen auf die Lieferkette von Kaseya-Kunden und wurde mit dem berüchtigten Colonial Pipeline-Cyberangriff in Verbindung gebracht, was Biden zu einer offiziellen Erklärung veranlasste, in der er Putin aufforderte, die in seinem Land nistenden Ransomware-Gruppen zu schließen. Kurz darauf, im Juli, fielen die Server von REvil auf mysteriöse Weise aus und blieben zwei Monate lang inaktiv.
Im Spätsommer wurde die Gruppe als Ransomware-as-a-Service (RaaS)-Akteur wiedergeboren, obwohl sie nach allem, was man hört, nur noch mit einem Bruchteil ihrer früheren Stärke operierte und wichtige Mitarbeiter fehlten. Ihr Hauptprogrammierer, UNKN (auch bekannt als Unknown), hat Berichten zufolge die Gruppe verlassen. Außerdem geriet die Gruppe in Schwierigkeiten, weil sie ihre RaaS-Partner um ihren gerechten Anteil an Lösegeldzahlungen gebracht hatte.
REvil Takedown: Wird es eine Rolle spielen?
Die gemeldete Zerschlagung mag einen bekannten Ransomware-Betreiber aus dem Weg geräumt haben, aber REvil ist längst nicht mehr das, was es einmal war, und andere Gruppen schlagen weiterhin ungestraft zu. LockBit 2.0 zum Beispiel floriert, wie das LockBit 2.0-Profil der Herjavec Group und die lange Liste der LockBit 2.0-Opfer zeigen.
Group-IB stellte kürzlich fest, dass im vergangenen Jahr 21 neue RaaS-Partnerprogramme entstanden sind und sich die Zahl der neuen Leak-Sites mit doppelter Erpressung auf 28 mehr als verdoppelt hat, so der Bericht.
Mit anderen Worten: Diese Aktion ist vielleicht nur ein kleiner Sieg im viel größeren Kampf gegen Ransomware. Aber REvil ist zu einem wichtigen symbolischen Ziel in diesem Kampf geworden – nicht zuletzt wegen seiner potenziellen Verbindungen zur Colonial Pipeline – und gerät weltweit immer mehr ins Fadenkreuz der Regierungen.
Im Oktober führte eine verdeckte Ermittlung in mehreren Ländern dazu, dass die Server von REvil vorübergehend vom Netz genommen wurden. Im November gab Europol die Verhaftung von insgesamt sieben mutmaßlichen REvil/GandCrab-Ransomware-Mitgliedern bekannt – darunter ein ukrainischer Staatsangehöriger, der von den Vereinigten Staaten wegen Ransomware-Angriffen angeklagt wird, zu denen auch die Kaseya-Angriffe gehören. Auch in anderen Ländern wurden Tochtergesellschaften (zufällige Hacker, die die Infrastruktur von REvil mieten) festgenommen, was jedoch keinen Einfluss auf die Hauptbande hat. Im Oktober identifizierte Deutschland jedoch einen mutmaßlichen Hauptakteur von REvil, der sich in Russland versteckt und weit weg von der Auslieferung ist.
Russland seinerseits könnte für die Aktion dieser Woche ein gewisses Lob erhalten, obwohl Forscher seit langem darauf hinweisen, dass das Land seit langem ein sicherer Hafen für Ransomware-Masterminds ist, die im Gegenzug Angriffe auf russische Ziele vermeiden.
„In Russland haben sie buchstäblich keine Angst davor, verhaftet zu werden“, sagte Jon DiMaggio, Bedrohungsforscher und leitender Sicherheitsstratege bei Analyst1, kürzlich über das kollektive Achselzucken des Cyber-Untergrunds angesichts der Nachricht, dass REvil-Mitglieder festgenommen wurden. „Sie geben Kommentare ab wie: ‚Schützt das Mutterland, das Mutterland schützt euch’… Sie versehen ihre Nachrichten mit Symbolen der russischen Flagge.“
Könnte sich das ändern? Das wird nur die Zeit zeigen.
Einige Teile dieses Artikels stammen aus:
threatpost.com