Weltweiter Cyber-Angriff So arbeitet die Erpressergruppe »REvil«

Es könnte einer der größten Hackerangriffe überhaupt sein: Eine Ransomware-Gruppe hat wohl Hunderte Unternehmen lahmgelegt und verlangt eine Millionensumme als Lösegeld. Was über die Täter bekannt ist.
Ransomware ist zur Plage geworden, weil Gruppen wie »REvil« das Geschäftsmodell auf die Spitze treiben

Ransomware ist zur Plage geworden, weil Gruppen wie »REvil« das Geschäftsmodell auf die Spitze treiben

Foto:

Urbazon / Getty Images

Was haben Lady Gaga und Donald Trump gemeinsam? Madonna und Bruce Springsteen? Sie alle waren im Mai 2020 als Klienten der New Yorker Anwaltskanzlei Grubman Shire Meiselas & Sacks von einem Hackerangriff betroffen. Die Gruppe »REvil« verlangte damals Lösegeld für angeblich brisante Dokumente, die sie der Kanzlei gestohlen hatten.

Doch niemand wollte darauf bieten. »REvil« war sauer und teilte mit : »Diese Daten werden entweder von den Stars selbst gekauft oder von verschiedenen Medien für eine eigene Erpressung oder einfach von netten Menschen mit guten Absichten. Ist uns egal. Hauptsache, wir kriegen das Geld.« Doch sie bekamen nichts, auch nicht, als sie einige Dokumente veröffentlichten. Die Ransomware-Gruppe hatte sich verkalkuliert.

Mittlerweile läuft es besser für sie – und schlechter für ihre Opfer: »REvil« steckt unter anderem hinter dem Erpresserangriff auf den Fleischfabrikanten JBS Ende Mai, elf Millionen Dollar in Bitcoin flossen als Lösegeld. Und am Freitag gelang es der Gruppe, den IT-Dienstleister Kaseya zu hacken – und damit dessen Nutzer, unter denen wiederum andere Dienstleister waren. Die IT-Systeme vieler Kunden der Dienstleister wurden mit einer Schadsoftware verschlüsselt und damit unbrauchbar gemacht, es könnte also Hunderte Opfer geben.

»Unser Preis liegt bei 70 Millionen Dollar«

Nun verlangt »REvil« 45.000 Dollar Lösegeld (engl. »ransom«) für jedes lahmgelegte System. Sollten die Angaben der mutmaßlichen Täter stimmen – wofür es allerdings keinen Beleg gibt –, sind eine Million Rechner betroffen, das wäre eine Gesamtsumme von 45 Milliarden Dollar – und eine der bisher größten Attacken mit Erpressersoftware überhaupt.

Auf ihrer Seite im Darknet machen sie ihren Opfern allerdings ein Angebot : »Wenn jemand über einen Universalschlüssel verhandeln will – unser Preis liegt bei 70 Millionen Dollar.« Für diese Summe würde die Gruppe einen Generalschlüssel veröffentlichen, mit dem alle Opfer »in weniger als einer Stunde« wieder auf ihre Daten und Netzwerke zugreifen könnten. Mittlerweile ist sie offenbar sogar zu einem weiteren Rabatt bereit: 50 Millionen Dollar  sind es inzwischen für den Generalschlüssel.

Keine Opfer in Russland – warum wohl?

»REvil«, auch bekannt als Sodinokibi oder Pinchy Spider, gehört zu den Ransomware-Plagen, die seit Jahren für Millionenschäden sorgen. Rund hundert solcher Erpressergruppen verfolgt das FBI derzeit, wenige sind so umtriebig und professionell wie diese.

Erstmals aufgetaucht ist sie im April 2019, sie gilt wegen des ähnlichen Codes ihrer Schadsoftware als Nachfolger der Gruppe »GandCrab«. Die Entwickler werden in Russland oder einem anderen Land der Gemeinschaft Unabhängiger Staaten vermutet. Einer der klarsten Hinweise darauf: Beim Start prüft die Schadsoftware , ob auf dem befallenen Computer die Spracheinstellungen für diese Länder gewählt sind. Ist das der Fall, wird der Rechner nicht verschlüsselt.

Im Westen wird das so interpretiert: Kriminelle wie »REvil« werden von Strafverfolgern in diesen Ländern in Ruhe gelassen, solange sie keine Landsleute angreifen. Die russische Regierung könne die Kriminellen zudem für besondere Hackingattacken einspannen, sagt die »New York Times«-Journalistin Nicole Perlroth .

Bekennerschreiben im Darknet

Wie andere Tätergruppen auch betreibt »REvil« ein Affiliate-Modell: Kunden können die Schadsoftware mieten und an ihre Bedürfnisse anpassen, das Lösegeld wird geteilt. 30 bis 40 Prozent verbleiben bei »REvil«, hat McAfee einmal ermittelt . Verbreitet wird die Schadsoftware über Botnetze oder Spammails. Deshalb ist nicht immer klar, wer letztlich wirklich hinter einem Angriff mit »REvils« Ransomware steckt.

Die Gruppe veröffentlicht allerdings immer wieder Bekennerschreiben im Darknet, auf ihrer eigens eingerichteten Seite. Die dient auch als Leaking-Plattform, denn wie andere Ransomware-Gruppen setzt »REvil« auf die doppelte Erpressung: Bevor Computer unbrauchbar gemacht werden, werden Daten gesichert – und mit deren Veröffentlichung wird gedroht. Handelt es sich um Geschäftsgeheimnisse, könnte das den Druck auf die Opfer erhöhen, Lösegeld zu zahlen.

Eine Ausnahme von diesem Schema stellt allerdings der Fall Kaseya dar. Aus Chats der Täter mit Opfern geht laut »BleepingComputer«  hervor, dass diesmal keine Daten exfiltriert wurden. Offenbar musste der Ransomware-Angriff schnell gehen. Die zugrunde liegende Sicherheitslücke bei Kaseya war bereits bekannt, ein Patch war aber noch nicht fertig . »REvil« war einfach schneller, wie es gute Geschäftsleute eben sind.

Mehr lesen über
Die Wiedergabe wurde unterbrochen.