Nachdem die Kriminellen rund um die Ransomware "REvil" Mitte Juli diesen Jahres zunächst verschwunden waren, ging ihr sogenannter "Happy Blog" in der vergangenen Woche wieder online. Laut aktuellen Erkenntnissen soll ein Teil der REvil-Serverinfrastruktur von unbekannter Stelle kompromittiert worden sein. Des Weiteren sei ein Mitglied der Kriminellen verschwunden.

Ende letzter Woche verfasste statt dem Mitglied "Unknown", welches bisher die Öffentlichkeitsarbeit von REvil übernahm, ein anderes Mitglied unter dem Pseudonym "REvil" neue Beiträge in einem Untergrundforum. "Unknown" sei demnach unter ungeklärten Umständen verschwunden - die Entwickler glauben an eine Verhaftung des Mitglieds. Der Hoster der Gruppe habe sie zudem informiert, dass die Clearnet-Server, auf denen unter anderem ihre Bezahlinfrastruktur lief, "kompromittiert" worden sei. Die Entwickler des REvil-Schadcodes haben ihre Serverinfrastruktur daraufhin gesichert und abgeschaltet.

In den Beiträgen wird auch erläutert, wie die US-Firma Kaseya an den REvil-Universalschlüssel gekommen sei. Der Verschlüsselungsprozess der Kriminellen erlaube ihnen demnach die Generierung eines universellen Decryption-Key oder individueller Schlüssel für jedes System - einer der Entwickler habe im Zuge hohen Aufkommens ausversehen einen Universalschlüssel erzeugt und versendet. Eine Übersetzung der Erläuterungen hierzu wurde auch von dem Unternehmen Flashpoint veröffentlicht.

Bei REvils Comeback könnte es sich laut Spekulationen auch um eine ausgeklügelte Strategie involvierter Ermittler handeln. Am 4. September ist beim Malware-Prüfdienst VirusTotal eine neue REvil/Sodinokibi-Variante aufgetaucht. Dem "Happy Blog" wurde zudem bereits ein neuer Eintrag mit geleakten Daten hinzugefügt.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE