Ransomware-Gruppe ist plötzlich offline Das REvil-Rätsel

Seit Dienstag sind die Websites der Erpressergruppe REvil nicht mehr erreichbar. Ist es das Werk von US-Behörden oder der russischen Regierung? Machen die Kriminellen nur Urlaub? Alle diese Theorien haben Schwächen.
Wo ist REvil?

Wo ist REvil?

Foto:

Cavan Images / imago images

Noch vor wenigen Tagen galt REvil als moderne Plage. Hunderte Unternehmen in aller Welt waren der Ransomware von REvil zum Opfer gefallen: Supermärkte in Schweden mussten schließen, in Deutschland hatte es mindestens drei IT-Dienstleister und deren Kunden erwischt, in Neuseeland mehrere Schulen und Kindergärten . Stolze 70 Millionen Dollar verlangte REvil zunächst für einen Generalschlüssel, der allen Betroffenen den Zugang zu ihren verschlüsselten Daten gewähren sollte. Und das Ganze kurz nachdem REvil elf Millionen Dollar in Bitcoin vom Fleischfabrikanten JBS erpresst hatte.

Jetzt aber herrscht Funkstille. REvil ist offline. Seit Dienstag ist keine der Seiten, die REvil zugerechnet werden, mehr erreichbar: weder das »Happy Blog« im Darknet, wo REvil unter anderem Bekennerschreiben veröffentlicht, noch die Seiten, auf denen die Opfer mit REvil verhandeln. Wer REvil Lösegeld zahlen will, um die eigenen Rechner zu entschlüsseln, steht derzeit vor verschlossenen Türen. In Foren, in denen sich REvil ab und zu äußert, gibt es auch kein Lebenszeichen der Gruppe mehr. Die Frage ist: Wer hat das veranlasst?

Bisher gibt es eine Reihe von Erklärungsversuchen, allesamt unbelegt: Entweder haben das U.S. Cyber Command oder das FBI REvil ausgeknipst. Oder es waren russische Behörden – REvils Sitz wird in Russland vermutet. Oder die Gruppe war es selbst, absichtlich oder nicht.

Urlaub mit 123 Millionen Euro in der Kasse?

Letzteres vermutet zum Beispiel Dmitri Alperovitch, Mitgründer der IT-Sicherheitsfirma CrowdStrike und heutiger Politikberater. »Am wahrscheinlichsten ist für mich Folgendes: Es ist Sommer in Russland, die Schwarzmeerküste ist sehr reizvoll, und diese Typen wollen sich etwas ausruhen und ein paar ihrer Millionen ausgeben«, sagte er im Podcast »Risky.biz« . Davon haben sie wohl genug: 123 Millionen Dollar  sollen sie allein 2020 eingenommen haben.

Auch eine Neuaufstellung eventuell unter anderem Namen hält Alperovitch für denkbar und verweist auf 2019: Damals hatte sich die Ransomware-Gruppe GandCrab aufgelöst. Aus ihr war REvil hervorgegangen.

Die Urlaubstheorie ist einerseits nicht ganz abwegig. Russische Internetkriminelle sind bekannt dafür, über die russischen Neujahrsferien Urlaub zu machen. In den vergangenen Jahren kam es im Januar immer wieder zu Pausen in ihren Hackingkampagnen. Warum also nicht auch mal ein Sommerurlaub?

Andererseits stellt sich die Frage, warum die Gruppe dafür ihre Infrastruktur abschalten sollte. War es vielleicht nur ein technischer Fehler, wenn auch ein sehr weitgehender? Dann dürften die Seiten sehr bald wieder erreichbar sein.

Eine Neuaufstellung wiederum könnte eine Reaktion auf Druck von außen sein. US-Präsident Joe Biden verlangt  vom russischen Präsidenten Wladimir Putin ein entschiedenes Vorgehen gegen Ransomware-Gruppen in seinem Einflussgebiet. Sollte die russische Regierung – der man nachsagt, die Ransomware-Gruppen in Land gewähren zu lassen, solange sie niemanden in Russland hacken – REvil deshalb nun kontaktiert haben, ist zumindest für einzelne Mitglieder möglicherweise der richtige (sprich: letzte) Zeitpunkt für einen Ausstieg gekommen. Sollten die anderen weitermachen wollen, bräuchten sie gegebenenfalls neues Personal mit den entsprechenden technischen Fähigkeiten. Unter diesen Umständen wäre auch der Neuaufbau der Infrastruktur nachvollziehbar.

Die zweite Theorie geht an dieser Stelle einen Schritt weiter: Sie besagt, dass die russischen Behörden es nicht bei einer Mahnung belassen, sondern REvil nachdrücklicher zum Stillhalten bewegt oder sogar hochgenommen haben – auch wenn sie dafür bisher nicht gerade bekannt sind . Tim Berghoff von G Data CyberDefense hält die plötzliche Stille angesichts der diplomatischen Diskussion auf höchster Ebene zumindest für mehr als bloßen Zufall: »Denkbar ist, dass es sich um eine aktive Geste guten Willens handelt«, sagte er dem SPIEGEL. »Ransomware wäre damit sowohl zum Politikum als auch zum Gegenstand diplomatischer Verhandlungen geworden und weit mehr als nur ein Ärgernis, mit dem sich Behörden und Unternehmen herumschlagen müssen.«

Eine solche Geste würde aber nur als solche erkannt werden, wenn sie öffentlich wird. Solange weder russische noch westliche Behörden oder Regierungen bestätigen, dass REvil von Russland gestoppt wurde, geht von dem Fall kein politisches Signal aus. Zudem gibt es weitere Ransomware-Gruppen, die in der Region verortet werden und immer noch aktiv sind, Conti zum Beispiel. Sollten sie unbehelligt bleiben, spricht nicht allzu viel für ein Politikum.

REvil könnte – Stand jetzt – jederzeit zurückkommen

Bleibt die dritte Möglichkeit: Das U.S. Cyber Command oder das FBI haben REvil fürs Erste lahmgelegt, um selbst ein Zeichen zu setzen. Alperovitch glaubt nicht daran: »Das sieht nicht aus wie eine offensive Operation von US-Cybercom«, schrieb er auf Twitter. Und gegen eine FBI-Operation spreche, dass die Websites nicht das sonst übliche Banner des FBI anzeigen. In so einem Fall gäbe es zudem eine Pressekonferenz der US-Regierung, doch bisher schweigt sie.

Fürs Erste ist REvils Auszeit einfach eine gute Nachricht für Ransomware-gebeutelte Unternehmen und Institutionen, mehr aber auch nicht. Solange es keine Informationen von offizieller Seite gibt, könnte die Gruppe jederzeit wieder auftauchen. Selbst wenn eine offensive Aktion für die Funkstille verantwortlich wäre, bedeutet das noch nicht das Ende von REvil. So hatten US-Behörden und Microsoft im vergangenen Oktober die Infrastruktur des Trojaners Trickbot ausgeschaltet. Doch die Trickbot-Entwickler sind längst wieder aktiv .

Die Wiedergabe wurde unterbrochen.