Fünf Mitglieder der Sodinokibi/REvil Ransomware-Gruppe verhaftet

Sicherheit (Pexels, allgemeine Nutzung)[English]Für Unterstützer und Affiliates diverser Ransomware-Gangs wird die Luft dünner. Der Druck der Strafverfolger steigt. Europol hat die Verhaftung von fünf Personen, die als Partner für die Ransomware-Gruppe Sodinokibi/REvil aktiv an Erpressungen beteiligt waren, enttarnt und verhaftete. Die Beteiligten saßen in Rumänien und in Kuweit und wähnten sich sicher, weil ja alles über Internet und Kryptogeld abgewickelt wurde.


Anzeige

Die Aktion fand, laut Europol, bereits am 4. November 2021 statt, als rumänischen Behörden zwei Personen verhafteten, die verdächtigt werden, Cyberangriffe mit der Ransomware Sodinokibi/REvil durchgeführt zu haben. Den Verhafteten wird vorgeworfen, für 5.000 Infektionen mit der Ransomware Sodinokibi/REvil verantwortlich zu sein. Bei den Cyber-Angriffen wurde insgesamt eine halbe Million Euro an Lösegeldzahlungen erbeutet.

Seit Februar 2021 haben die Strafverfolgungsbehörden drei weitere Mitglieder von Sodinokibi/REvil und zwei Verdächtige im Zusammenhang mit den Aktivitäten der Ransomware-Gang GandCrab verhaftet. Catalin Cimpanu gibt in nachfolgendem Tweet eine Auflistung von sieben Verhafteten der weltweit agierenden Cyber-Gang REvil/GandCrab an. Auf The Records heißt es, dass im folgende Verhaftungen erfolgten:

  • Februar, April, Oktober – Verhaftung von drei REvil- und GandCrab-Mitgliedern in Südkorea
  • Oktober – Verhaftung eines REvil-Mitglieds in Polen (angeklagt wegen der REvil-Angriffe auf Kaseya)
  • 4. November – Verhaftung von zwei REvil-Mitgliedern in Constanta, Rumänien
  • 4. November – Verhaftung eines GandCrab-Mitglieds in Kuwait

Dies sind einige der Ergebnisse der Operation GoldDust, an der Strafverfolger aus 17 Ländern, Europol, Eurojust und INTERPOL beteiligt waren. All diese Verhaftungen folgen auf die gemeinsamen internationalen Strafverfolgungsbemühungen zur Identifizierung, Abhörung und Beschlagnahmung eines Teils der Infrastruktur, die von der Sodinokibi/REvil-Ransomware-Familie genutzt wird, die als Nachfolger von GandCrab angesehen wird.

Anti-REvil-Team in Europa wird aktiv

Es sieht so aus, als ob die Ransomware-Gangs das Blatt überreizt haben. Seit 2019 waren mehrere große internationale Unternehmen mit schweren Cyberangriffen konfrontiert, bei denen die Ransomware Sodinokibi/REvil zum Einsatz kam. Das war der Leidensdruck zum Handeln gegeben. Frankreich, Deutschland, Rumänien, Europol und Eurojust haben die Maßnahmen gegen diese Ransomware verstärkt und im Mai 2021 ein gemeinsames Ermittlungsteam eingerichtet.

Bitdefender stellte in Zusammenarbeit mit den Strafverfolgungsbehörden auf der No More Ransom-Website ein Tool zur Verfügung, das den Opfern von Sodinokibi/REvil dabei hilft, ihre Dateien wiederherzustellen und sich von Angriffen zu erholen, die vor Juli 2021 durchgeführt wurden.

Anfang Oktober wurde ein Sodinokibi/REvil-Mitglied an der polnischen Grenze verhaftet, nachdem die USA einen internationalen Haftbefehl ausgestellt hatten. Der ukrainische Staatsangehörige wird verdächtigt, den Kaseya-Angriff verübt zu haben, von dem bis zu 1.500 nachgelagerte Unternehmen betroffen waren und für den Sodinokibi/REvil ein Lösegeld von rund 70 Mio. EUR forderte.

Darüber hinaus haben die Behörden in Südkorea im Februar, April und Oktober 2021 drei an den Ransomware-Familien GandCrab und Sodinokibi/REvil beteiligte Unternehmen festgenommen, die mehr als 1 500 Opfer hatten.


Anzeige

Am 4. November verhafteten die kuwaitischen Behörden einen weiteren GandGrab-Ableger, so dass seit Februar 2021 insgesamt sieben Verdächtige im Zusammenhang mit den beiden Ransomware-Familien verhaftet wurden. Sie werden verdächtigt, insgesamt etwa 7 000 Opfer angegriffen zu haben.

GoldDust: Verbindungen zu GandCrab

Seit 2018 unterstützt Europol von Rumänien geleitete Ermittlungen und Untersuchungen, die auf die GandCrab-Ransomware-Familie abzielt. An den Ermittlungen sind Strafverfolgungsbehörden aus einer Reihe von Ländern beteiligt, darunter das Vereinigte Königreich und die Vereinigten Staaten.

Mit mehr als einer Million Opfern weltweit war GandCrab eine der produktivsten Ransomware-Familien der Welt. Die gemeinsamen Bemühungen der Strafverfolgungsbehörden führten zur Veröffentlichung von drei Entschlüsselungstools im Rahmen des No More Ransom-Projekts, wodurch bisher mehr als 49.000 Systeme gerettet und über 60 Millionen Euro an gefordertem Lösegeld nicht gezahlt werden mussten.

Die Ermittlungen/Untersuchungen befassten sich auch mit den Partnern von GandCrab. Es wird vermutet, dass einige der Beteiligten später mit Sodinokibi/REvil zusammen arbeiteten. Die Operation GoldDust der Strafverfolger wurde ebenfalls auf der Grundlage von Hinweisen aus diesem Bereich aufgebaut.

Decryptoren helfen

Europol schreibt, dass die Unterstützung durch den Cybersicherheitssektor sich als entscheidend für die Minimierung des Schadens durch Ransomware-Angriffe erwiesen habe. Viele Partner aus der Sicherheitsszene haben bereits Entschlüsselungstools für eine Reihe von Ransomware-Familien über die No More Ransom-Website bereitgestellt.

Bitdefender unterstützte diese Untersuchung, indem es während der gesamten Untersuchung wichtige technische Erkenntnisse sowie Entschlüsselungstools für diese beiden sehr verbreiteten Ransomware-Familien bereitstellte, um den Opfern bei der Wiederherstellung ihrer Dateien zu helfen. KPN und McAfee Enterprises sind weitere Partner aus dem privaten Sektor, die diese Untersuchung ebenfalls unterstützt haben, indem sie den Strafverfolgungsbehörden technisches Fachwissen zur Verfügung stellten.

Derzeit verfügt No More Ransom über Entschlüsselungstools für GandCrab (V1, V4 und V5 bis V5.2) und für Sodinokibi/REvil. Die Sodinokibi/REvil-Entschlüsselungstools halfen mehr als 1400 Unternehmen bei der Entschlüsselung ihrer in Netzwerken verschlüsselten Dateien und ersparten ihnen fast 475 Millionen Euro an potenziellen Verlusten. Die für beide Ransomware-Familien zur Verfügung gestellten Tools ermöglichten mehr als 50.000 Entschlüsselungen, für die die Cyberkriminellen rund 520 Mio. EUR Lösegeld gefordert hatten.

Auch US-Behörden schlagen zu

In den USA haben Strafverfolger ebenfalls zugeschlagen und 6 Millionen US-Dollar aus dem Lösegeld der REvil Ransomware-Gang beschlagnahmt, wie nachfolgender Tweet verkündet.

 REvil Ransomware-Gang Beschlagnahme

Neben der Beschlagnahmung fanden eine Reihe weiterer Maßnahmen gegen mutmaßliche REvil-Ransomware-Angreifer in Europa statt. Darunter gab es eine Verhaftung und eine Anklage. Und es gibt neue Sanktionen gegen einen Kryptowährungsaustauschdienst und Unternehmen, die den Dienst unterstützen.

Der 22-jährige ukrainische Staatsbürger Yaroslav Vasinksyi wurde auf Geheiß der US-Behörden am 8. Oktober verhaftet, als er die Grenze nach Polen überquerte. Vaskinskyi wird beschuldigt, den Code hinter der REvil-Malware geschrieben zu haben. Diese ist auch als Sodinokibi zählt zu den gefährlichsten Ransomware-Stämmen. Laut US-Generalstaatsanwalt Merrick Garland wurde die Malware weltweit auf etwa 175.000 Computern eingesetzt und hat mindestens 200 Millionen Dollar an Erpressungsgeldern eingebracht.

Die US-Behörden kündigten außerdem eine Anklage gegen den russischen Staatsbürger Jewgenij Polyanin an. Neben der Anklage wegen Verschwörung zum Betrug im Zusammenhang mit Computern, vorsätzlicher Beschädigung eines geschützten Computers und Verschwörung zur Geldwäsche beschlagnahmten die Beamten bei Polyanin auch 6,1 Millionen Dollar. Polyanin führte etwa 3.000 Ransomware-Angriffe gegen Organisationen, darunter Strafverfolgungsbehörden und Gemeinden, durch und erpresste etwa 13 Millionen Dollar von seinen Opfern. Details sind hier nachzulesen.

Ähnliche Artikel:
Europol zerschlägt Ransomware-Gruppe
Europol & Co. lassen 2 Ransomware-Operatoren in der Ukraine festnehmen
Europol hebt zwei SIM-Swapping-Gruppen aus
Europol schnappt wohl Kopf der Carbanak Malware-Kampagne
Ironside: Polizei trickst Kriminelle mit ANOM-Messenger-App aus
Mitglieder der Egregor-Ransomware-Gang verhaftet
Details zur Emotet Deinstallation durch Strafverfolger
Mutmaßlicher Hintermann der REvil-Gang in Russland identifiziert
REvil Cyber-Gang stellt Aktivitäten nach Hijacking von Tor-Seiten ein
Bitdefender stellt universellen REvil-Decryptor bereit
Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Fünf Mitglieder der Sodinokibi/REvil Ransomware-Gruppe verhaftet

  1. 1ST1 sagt:

    Na das sind doch mal gute Nachrichten. Aber ich befürchte, das ist nur ein Tropfen auf den heißen Stein.

    Man muss sich allerdigs auch fragen, was passiert mit den durch diese Verbrecher gerade laufende Attacken? Schließlich dürften in solchen Netzen gerade gehackte Backdoors offen sein, es dürften Verhandlungen zwischen gehackten Unternehmen usw. und den Verbrechern unterbrochen sein, um an den Key zu kommen, usw. Es ist ja nicht gesagt, dass die bei No More Ransom gesammelten Entschlüssler in allen Fällen funktionieren…

  2. Blupp sagt:

    Das ist wie mit dieser Schlange, schlage einen Kopf ab und zwei wachsen nach.
    Eigentlich sollte es jedem der sehen kann zeigen, dass es wirkliche Sicherheit nicht gibt und man sollte beginnen umzudenken. Was macht man, sperrt die Verbrecher zu Recht ein und etwas später kommt der Nachwuchs der mit mehr Elan und mehr technischer Rafinesse weitermacht. Die Technik wird dabei mit der Zeit immer umfangreicher, schwerer zu hacken, schwerer zu schützen und noch größere Schäden erscheinen möglich. Irgendwas läuft wohl mächtig schief.

Schreibe einen Kommentar zu 1ST1 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.