Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Ransomware

Hackergruppe REvil plötzlich verschwunden - Waren es die USA oder gar die Russen?

Die schwedische Supermarktkette Coop musste 800 Filialen schließen nach dem Hackerangriff durch das Kollektiv REvil.APA/AFP/TT NEWS AGENCY/ALI LORES
  • Drucken

2021 war bislang ein Jahr mit spektakulären weitreichenden Hackerangriffen. Jetzt sind die vermuteten Angreifer dahinter plötzlich verschwunden.

Waren es die Strafverfolgungsbehörden, oder gar die Hackergruppe REvil selbst, oder und das wäre perfide: Wurde die russische Gruppe selbst Opfer eines Hacker-Angriffs? Knapp zwei Wochen nach dem massiven Cyberangriff auf die US-IT-Firma Kaseya ist die Webseite der Gruppe aus dem Darknet verschwunden. Noch sei es zu früh, zu sagen, was passiert sei, aber „ich habe noch nie die gesamte Infrastruktur offline gesehen, wie aktuell“, schreibt Cybersicherheits-Experte Allan Liska von der Firma Recorded Future auf Twitter.

Rückblick: REvil, das von Cybersicherheitsfirmen und der US-Regierung verdächtigt wird, von Russland aus zu operieren, wird beschuldigt, für die Ransomware-Attacke auf Acer im März 2021 verantwortlich sein, hinter dem Angriff auf den riesigen Fleischlieferanten JBS zu stehen, der  schließlich 11 Millionen US-Dollar Lösegeld zahlte, um wieder handlungsfähig zu sein. Auch der Angriff auf Colonial Pipeline soll die Handschrift der Hacker tragen. Vor kurzem starteten sie die nächste Attacke. Das Ziel: das Software-Unternehmen Kaseya und dieser hatte es in sich und löste einen Dominoeffekt aus. Die schwedische Supermarktkette Coop musste 800 Filialen vorübergehend schließen, weil ihre Kassensysteme ausfielen. Hätte das Unternehmen nicht zeitnah den Angriff bemerkt, wären mehr als die 1500 Unternehmen betroffen gewesen. Immerhin zählt das Unternehmen mehr als 40.000 Kunden. Das Ausmaß war dennoch groß genug, dass die Gruppe einfach mal 70 Millionen Dollar Lösegeld verlangte, wobei man die Bereitschaft für Verhandlungen signalisierte.

Ein anderer wird kommen

Dass die Gruppe sich nach zwei Jahren Existenz bereits in den Ruhestand verabschiedet, wird von IT- und Security-Experten bezweifelt. Ebenso eine Verantwortung der USA. James Lewis vom Zentrum für Strategische und Internationale Studien in Washington hält es neben anderen Möglichkeiten auch für denkbar, dass die Website der Hackergruppe auf Druck der russischen Behörden offline ging. Er glaube aber nicht, dass die USA dafür verantwortlich seien. 

Der plötzliche Ausfall kommt dennoch nur wenige Tage, nachdem Präsident Joe Biden sagte, er habe den russischen Präsidenten Wladimir Putin gedrängt, gegen Hacker in seinem Land vorzugehen, die für die jüngsten Ransomware-Angriffe verantwortlich gemacht werden. „Ich habe ihm sehr deutlich gemacht, dass die Vereinigten Staaten erwarten, dass er handelt, wenn eine Ransomware-Operation von seinem Boden kommt, auch wenn sie nicht vom Staat gesponsert wird“, sagte Biden.

Verschwunden sind sie aber allemal: "Ich kann nichts von ihrer Infrastruktur online finden. Ihre Erpressungsseite ist weg, alle ihre Zahlungsportale sind offline, ebenso ihre Chat-Funktion“, sagt Liska, der sich durch die Untiefen des Darknet grub, um die Hacker wieder aufzuspüren.

>>> Hackerangriffe als immer teurere Gefahr [premium]

Der Cyber-Angriff auf eine der wichtigsten US-Pipelines macht die Verwundbarkeit kritischer Infrastruktur deutlich. Die USA riefen einen regionalem Notstand aus, auch die Ölpreise zogen an.

Kommentar: Ein Hackerangriff ist keine Schande, sondern ein Verbrechen

 

Dass sich Gruppen zurückziehen ist nicht ungewöhnlich. Mutmaßlich ging REvil selbst aus der Gruppe rund um den Erpressungstrojaner Gandcrab hervor. Diese kündigten aber 2019 wenigstens ihren Rückzug selbst an: „Wir sind der lebende Beweis, dass man Böses tun und ungeschoren davon kommen kann.“ Immerhin war die Gruppe sehr produktiv und hatte innerhalb ihrer aktiven Zeit mehr als zwei Milliarden Dollar an Lösegeld eingenommen. Doch schon damals gab es Anzeichen dafür, dass nicht alle mit dieser Entscheidung konform gingen und sich neu positionierten. Vergessen sollte man nicht, dass REvil nicht die einzigen da draußen sind, die auf Ransomware- und Hacker-Attacken spezialisiert sind. Hafnium, die chinesische Gruppe, soll immerhin für den Angriff auf die Exchange-Server von Microsoft verantwortlich zeichnen.