Nachdem die Kriminellen rund um die Ransomware
"REvil" Mitte Juli diesen Jahres zunächst verschwunden
waren, ging ihr sogenannter "Happy Blog" in der vergangenen
Woche wieder online. Laut aktuellen Erkenntnissen soll ein Teil
der REvil-Serverinfrastruktur von unbekannter Stelle kompromittiert
worden sein. Des Weiteren sei ein Mitglied der Kriminellen verschwunden.
Ende letzter Woche verfasste statt dem Mitglied "Unknown",
welches bisher die Öffentlichkeitsarbeit von REvil übernahm,
ein anderes Mitglied unter dem Pseudonym "REvil" neue
Beiträge in einem Untergrundforum. "Unknown" sei
demnach unter ungeklärten Umständen verschwunden - die
Entwickler glauben an eine Verhaftung des Mitglieds. Der Hoster
der Gruppe habe sie zudem informiert, dass die Clearnet-Server,
auf denen unter anderem ihre Bezahlinfrastruktur lief, "kompromittiert"
worden sei. Die Entwickler des REvil-Schadcodes haben ihre Serverinfrastruktur
daraufhin gesichert und abgeschaltet.
In den Beiträgen wird auch erläutert, wie die US-Firma
Kaseya an den REvil-Universalschlüssel gekommen sei. Der Verschlüsselungsprozess
der Kriminellen erlaube ihnen demnach die Generierung eines universellen
Decryption-Key oder individueller Schlüssel für jedes
System - einer der Entwickler habe im Zuge hohen Aufkommens ausversehen
einen Universalschlüssel erzeugt und versendet. Eine Übersetzung
der Erläuterungen hierzu wurde auch von
dem Unternehmen Flashpoint veröffentlicht.
Bei REvils Comeback könnte es sich laut Spekulationen auch
um eine ausgeklügelte Strategie involvierter Ermittler handeln.
Am 4. September ist beim
Malware-Prüfdienst VirusTotal eine neue REvil/Sodinokibi-Variante
aufgetaucht. Dem "Happy Blog" wurde zudem bereits ein
neuer Eintrag mit geleakten Daten hinzugefügt.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|