REvil Cyber-Gang stellt Aktivitäten nach Hijacking von Tor-Seiten ein

Publiziert am 18. Oktober 2021 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Die REvil Cyber-Gang scheint erneut ihre Aktivitäten komplett eingestellt zu haben, seit sie kürzlich aus der Versenkung wieder aufgetaucht waren. Hintergrund für den erneuten Exit ist wohl der Umstand, dass einzelne Tor-Seiten wohl übernommen worden sind. Damit bleibt die REvil Cyber-Gang einmal mehr in den Schlagzeilen, nachdem kürzlich bekannt wurde, dass die Gang auch eigene Partner über den Tisch gezogen und ausgebootet hat.

Anzeige

Rückblick auf die REvil-Gruppe

Die REvil-Ransomware-Gang (auch  unter dem Namen Sodinokibi bekannt) ist eine der aggressivsten  Cyber-Akteure der letzten Zeit, die „Ransomware as a Service" anboten. Zur Vermarktung verwendet die Gruppe eine Art Affiliate-Programm, bei dem Dritte ihre Malwareprogramme für kriminelle Zwecke benutzen dürfen. Von den erpressten Geldern erhält die Gruppe dann einen Teil als Provision.

Der Angriff auf den Fleischverpacker JBS und zuletzt der Lieferkettenangriff auf den US-Hersteller Kaseya (siehe Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland) hat jede Menge Staub aufgewirbelt. Aber auch kleinere Firmen wurden Opfer der Gang. Mitte Juli 2021 wurden die Webseiten der REvil-Gruppe sowie deren Payment-Server sowie die Infrastruktur abgeschaltet (ich hatte im Blog-Beitrag Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet berichtet).

Vor wenigen Wochen war einmal ein Decryptor für REvil-verschlüsselte Dateien veröffentlicht worden (Bitdefender stellt universellen REvil-Decryptor bereit). Weiterhin wurde bekannt, dass die Ransomware-Gang ihre eigenen Partner übers Ohr gehauen hatte. Während die Gangs, die die Dienste von REvil gebucht und Opfer infiziert hatten, noch über Lösegeld verhandelten, klinkten sich die REvil-Leute in diese Verhandlungen ein und übernahmen das Lösegeld. Heise hatte in diesem Artikel berichtet.

REvil taucht auf und verschwindet erneut

Wenn ich es richtig mitbekommen habe, gab es Mitte September 2021 dann die Mitteilung, dass die REvil Ransomware-Gruppe wieder aktiv sei. Denn am 7. September 2021 waren die Tor-Seiten für Verhandlungen, Datenleck und Zahlungen plötzlich wieder erreichbar. Einen Tag später war es wieder möglich, sich auf der Tor-Bezahlseite einzuloggen und mit der Gang in Verhandlungen zu treten. Die Kollegen von Bleeping Computer hatten hier beispielsweise berichtet.

REvil

Verschiedene Webseiten, u.a. obiger Tweet und dieser Artikel von Bleeping Computer berichten nun aber, dass die REvil-Gang erneut abgetaucht sei. Ein Unbekannter habe das Tor-Zahlungsportal und den Blog, auf dem Datenleck veröffentlicht wurden, gekapert, heißt es. Die Information wurde wohl von jemand, der mit der REvil-Gruppe in Verbindung steht, im XSS-Hacking-Forum gepostet. Dort heißt es, dass jemand die Domains der REvil-Gang gekapert habe.

Entdeckt wurde dies von Dmitry Smilyanets von Recorded Future. Dessen Nachricht besagt, dass eine unbekannte Person die versteckten Tor-Dienste (Onion-Domains) mit denselben privaten Schlüsseln wie die Tor-Seiten von REvil gekapert hat und wahrscheinlich Backups der Seiten hat. In einem Post heißt es (siehe):

Der Server war kompromittiert und sie suchten nach mir. Um genau zu sein, löschten sie den Pfad zu meinem hidden Service in der torrc-Datei und und setzten ihren eigenen Pfad ein, so dass ich (sic) dorthin gehen würde. Ich habe es bei anderen überprüft – das war nicht der Fall. Viel Glück an alle, ich bin weg.

Was genau hinter der Geschichte steckt, wer den Angreifer ist und was bezweckt wird, ist aber unklar.

Anzeige

Ergänzung: heise schreibt hier, dass REvil wegen Kompromittierung der Tor-Server durch das FBI die Aktivitäten eingestellt habe.

Ähnliche Artikel:
Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)
REvil Ransomware-Befall bei Acer? (März 2021)
Spanische Staatsbahn, ADIF, von Revil Ransomware befallen
Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall
Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland
Nachbereitung zum Kaseya-Lieferkettenangriff
Revil Ransomware-Hacker veröffentlichen erste Trump-Files
Ransomware, Datenlecks, Hacks, Schwachstellen (Juni 2021)
Ransomware-Angriffe: Tegut, Madsack und mehr … (26.4.2021)
Bitdefender stellt universellen REvil-Decryptor bereit

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu REvil Cyber-Gang stellt Aktivitäten nach Hijacking von Tor-Seiten ein

  1. masterX244 sagt:
    18. Oktober 2021 um 20:27 Uhr

    Zwiebel-DOmain sollte wohl onion-Domain heißen und wurde wohl übelsetzt

    Antworten

Schreibe einen Kommentar zu masterX244 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.