SECURITY31. Mai 2022

Sind die Revil-Erpresser zurück?

Nachdem im Januar die russische Justiz die Zerschlagung der Revil-Gruppe gemeldet hatte, melden sich nun Angreifer unter dem Namen Revil zurück. Doch Sicherheitsforscher haben Zweifel und vermuten, dass es sich um Trittbrettfahrer handeln könnte. Die verhafteten Cyberkriminellen könnten dagegen schneller als gedacht wieder auf freien Fuß kommen – wegen des Ukraine-Kriegs.

Unter dem Namen der berüchtigten Revil-Gruppe werden wieder Cyberangriffe verübt – doch wer dahintersteckt, ist nicht klar. <Q>Sashkin / Bigstockphoto
Unter dem Namen der berüchtigten Revil-Gruppe werden wieder Cyberangriffe verübt – doch wer dahintersteckt, ist nicht klar. Sashkin / Bigstockphoto

 

Banken, Anwaltskanzleien, Handelskonzerne und Industrie-Unternehmen: die Zahl der Firmen, die Opfer der Erpressergruppe Revil geworden waren, ist lang. Nach einer Studie von Trellix ging im dritten Quartal 2021 beinahe die Hälfte der weltweiten Ransomware-Erpressungen auf die russische Hackergruppe zurück (IT-Finanzmagazin berichtete). Das hatte umfangreiche Aktivitäten der US-Justiz ausgelöst, die einen weltweiten Kampf gegen die Cyberkriminellen ankündigte. Im Rahmen dieser Kampagne arbeiteten die US-Behörden auch mit den russischen Kollegen zusammen, die daraufhin ebenfalls gegen die in St. Petersburg ansässige Gruppe vorging. Mitte Januar meldeten die russischen Justizbehörden, sie habe die Revil-Gruppe zerschlagen und acht Mitglieder in Untersuchungshaft genommen. Daraufhin war es still geworden um die Erpresser.

„Revil“ als Brand wiederbelebt?

Die Cyber Threat Intelligence-Gruppe von Radware meldet nun, dass neue Angriffe gestartet wurden, deren Urheber sich als Revil-Mitglieder ausgeben. Die Gruppe schickt dem anvisierten Opfer zunächst eine warnende Lösegeldforderung und geht dann zu fortgeschritteneren Taktiken über. Dazu gehört das Einbetten der Lösegeldforderung in die Nutzlast des Angriffs. Die Gruppe führt hochfrequente (mehrere Millionen Anfragen pro Sekunde) verschlüsselte Angriffe auf Anwendungsebene durch.

Ziele sind Unternehmen und Organisationen in Europa, den USA und Asien, bekannt wurde unter anderem ein Angriff auf Hospitality-Kunden des Cloud-Netzwerkanbieters Akamai. Die Angriffe dauern meist etwa fünf Minuten und enthalten Nachrichten, die in die Anfrage-URL eingebettet sind. Zu den Nachrichten gehören auch politische Statements bzw. Forderungen. Dies weicht vom bisherigen Verhalten der Revil-Gruppe ab, die sich bislang stets als unpolitisch und rein kommerziell orientiert bezeichnet hatte. Auch seien die Angriffe wesentlich weniger intensiv als zuletzt, und statt Ransomware verwendet die aktuelle Kampagne ausschließlich DDoS-Angriffe über einfache HTTP-GET-Anforderungen, schreibt Larry Cashdollar, Schwachstellenforscher von Akamai SIRT, in seinem Akamai-Blog. Alles in allem geht er davon aus, dass es sich vermutlich im Nachahmer handelt, die ihre Angriffsziele einschüchtern wollen, indem sie den Namen der bekannten Hacker missbrauchen. Zwar könne es auch sein, dass die Revil-Gruppe tatsächlich zurück sei und ein neues „Geschäftsmodell“ teste. Cashdollar schätzt dies zwar als wenig wahrscheinlich ein, fordert jedoch weiterhin Aufmerksamkeit und Vorsorge der Security-Verantwortlichen:

Welchen dieser Fälle wir hier vor uns haben, ist zu diesem Zeitpunkt nicht genau klar. Aber wir wollten das Bewusstsein bei Organisationen schärfen, die diesen Techniken und Kampagnen in Zukunft zum Opfer fallen könnten, insbesondere weil dieses potenzielle Wiederaufleben von Revil im letzten Monat Schlagzeilen gemacht hat.“

Larry Cashdollar, Schwachstellenforscher von Akamai SIRT

Ukraine-Krieg nützt Cyberkriminellen

Wie die russische Wirtschaftszeitung Kommersant berichtet, hakt es inzwischen bei der Zusammenarbeit zwischen den russischen und den US-amerikanischen Justizbehörden. „Amerika kümmert sich nicht um die russischen Hacker“, klagen die Moskauer Ermittler. Die vom US-Geheimdienst genannten Vorwürfe, die Revil-Mittglieder hätten zig Millionen Dollar von Unternehmen weltweit gestohlen sowie Bankkartenbetrug an zwei in den USA lebenden Mexikanern begangen, seien bislang nicht gerichtsfest belegt. Nach dem Einmarsch der russischen Streitkräfte in die Ukraine sei der Kontakt von den US-Behörden gekappt worden und angekündigt, keinerlei weitere Materialien mehr zu übermitteln. Es fehle nicht nur an Beweisen, sondern sogar an einer konkreten Bezifferung des entstandenen Schadens.

So kann nun nur ein Bruchteil der Vergehen angeklagt werden. Die russische Anklageschrift führt daher lediglich illegalen Erwerb, Besitz und Verwendung elektronischer Gelder für illegale Kapitaltransfers an. Die Verteidigung verlangt demgegenüber, dass das Verfahren eingestellt und die Inhaftierten freigelassen werden, da es weder nachweisbare Schäden noch Opfer gebe. Auch das beschlagnahmte Vermögen müsse zurückgegeben werden. Dabei geht es um 600.000 US-Dollar, 500.000 Euro, 20 Premium-Autos und Bitcoins für 426 Millionen Rubel.

Was die aktuellen Aktivitäten betrifft, verweist Kommersant auf Aussagen von ungenannten russischen IT-Experten. Nach deren Angaben habe die Gruppe einige Zeit nach der Verhaftung der acht Mitglieder durch den russischen Inlandsgeheimdienst FSB ihre Aktivitäten „vollständig wiederhergestellt“ und auf ihrer Community-Website aktuelle Berichte über neue – erfolgreiche – Angriffe auf zwei Unternehmen eingestellt. hj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert