Die größte Ransomware-Gang der Welt ist gerade aus dem Internet verschwunden

Foto von Jordan Harrison auf Unsplash

Eine der produktivsten Ransomware-Gangs der Welt verschwand am Dienstagmorgen plötzlich aus dem Internet. Der ungeklärte Exodus findet nur einen Tag vor dem geplanten Treffen hochrangiger Beamter des Weißen Hauses und Russlands statt, um die globale Ransomware-Krise zu erörtern.

Die als REvil bekannte Ransomware-Crew existiert seit Jahren im boomenden Untergrund der Cyberkriminalität. Ein Wurf 42 % aller jüngsten Ransomware-Angriffe gehen auf diese Bande zurück, aber sie sind vor allem für zwei Hacks bekannt. Anfang dieses Monats, die Bande mindestens 1.000 Unternehmen getroffen B. durch einen Angriff auf das Softwareunternehmen Kaseya. Es war eine der umfangreichsten Ransomware-Kampagnen, die jemals durchgeführt wurden. Und letzten Monat, REvil Schlag den Fleischlieferanten JBS und forderte die Zahlung von 11 Millionen Dollar. Auch als die führenden Politiker der Welt ihre Aufmerksamkeit auf Ransomware und drohende Aktionen richteten, war REvil trotzig – bis jetzt.



Es ist ein bisschen chaotisch, während wir uns bemühen, herauszufinden, was passiert, sagt Allan Liska, Senior Threat Analyst bei der Sicherheitsfirma Recorded Future. Wir sind vorsichtig optimistisch, dass eine der größten Banden da draußen fertig ist.

Es gibt einige mögliche Erklärungen für die Ursache des heutigen Shutdowns. Erstens hat sich die Bande möglicherweise entschieden, sich zurückzuziehen, wenn sie genug Geld verdient oder zu viel Druck verspürt hat. Die Vereinigten Staaten oder ihre Verbündeten haben sie möglicherweise erfolgreich offline geschaltet. Oder die russische Regierung hat sie unter internationaler Beobachtung gezwungen, sie zu schließen. Ihr Verschwinden könnte auch vorübergehend sein – viele Cyberkriminelle geben vor, in den Ruhestand zu gehen, bevor sie schließlich unter neuen Identitäten wieder auftauchen.

Wir empfehlen, keine voreiligen Schlüsse zu ziehen, da es noch zu früh ist, aber REvil ist in der Tat eine der skrupellosesten und kreativsten Ransomware-Gangs, die wir je gesehen haben, sagt Ekram Ahmed, ein Sprecher von Check Point Software.

Die Antwort ist unklar und das umfassendere Problem der Ransomware ist immer noch groß.

Ich weiß nicht, was das bedeutet, aber egal, ich bin glücklich! getwittert Katie Nickels, Geheimdienstdirektorin der US-Firma Red Canary. Wenn es ein Takedown durch die Regierung ist – großartig, sie ergreifen Maßnahmen. Wenn die Schauspieler freiwillig still geworden sind - ausgezeichnet, vielleicht haben sie Angst. Es ist immer noch wichtig, sich daran zu erinnern, dass Ransomware dadurch nicht behoben wird.

Warum sich die Ransomware-Krise plötzlich so unerbittlich anfühlt

Angriffe auf große Unternehmen und kritische Infrastrukturen haben die USA in Panik versetzt, aber die Wurzeln des Problems reichen Jahre zurück.

Alle von der REvil-Bande genutzten Websites, einschließlich derer, auf denen die Gruppe gestohlene Daten veröffentlicht, sind jetzt offline. Noch bedeutsamer ist jedoch, dass die gesamte Infrastruktur und Computer, die die Bande für Angriffe nutzt, am Dienstagmorgen gegen 8 Uhr Moskauer Zeit offline gegangen sind, erklärt Liska. Auch der Sprecher der Gruppe ist seit fast einer Woche inaktiv.

Ransomware-Sites werden von Bulletproof Hosting gehostet und sie sind schuppig, sie gehen alle auf und ab, sagt Liska. Aber sie gehen nie alle gleichzeitig auf und ab.

REvil ist eine russischsprachige Gruppe, die Malware, die sie schreiben, vermeidet russische Computer, und sie sind mit anderen Gruppen verbunden, von denen angenommen wird, dass sie sich in Russland befinden. Nach dem massiven Angriff in diesem Monat sagte der Pressesprecher des Weißen Hauses, Jen Psaki: Wenn die russische Regierung nicht gegen kriminelle Akteure in Russland vorgehen kann oder will, werden wir handeln oder uns das Recht vorbehalten.

Da sich der morgige US-Russland-Gipfel auf Ransomware konzentrieren soll, sieht es so aus, als ob das Gespräch anders verlaufen könnte als ursprünglich erwartet.

Das Timing ist faszinierend. Es ist direkt nach dem Kaseya-Angriff und kurz vor dem morgigen Gipfel“, sagt Liska. „Sie haben gerade den wohl größten Ransomware-Angriff der Geschichte durchgeführt. Dass es von diesem Hoch zum Abschalten kommt, ist meines Erachtens kein Zufall.

verbergen