Berüchtigte Ransomware-Gruppe ‘REvil“ wurde diese Woche im Rahmen einer gemeinsamen Operation mehrerer Länder, einschließlich der USA, gehackt und offline erzwungen. Die Gruppe soll Anfang des Jahres für den Cyberangriff auf die Colonial Pipeline verantwortlich sein. Es steht auch seit einiger Zeit im Fadenkreuz des FBI und der US-Strafverfolgungsbehörden. Die Operationen gegen die Bande nehmen Fahrt auf. Die Colonial Pipeline wurde Anfang des Jahres bei einem Großangriff gehackt, der das Unternehmen zwang, alle Operationen einzustellen, was in weiten Teilen der Vereinigten Staaten, insbesondere im Südosten, zu einer massiven Treibstoffknappheit führte.
REvil gilt als eine der berüchtigtsten Gruppen der Cyberkriminalität, von der bekannt ist, dass sie gegen die USA und andere westliche Nationen arbeitet. Laut Cybersicherheitsexperten betreibt die Gruppe einen privaten Ransomware-as-a-Service (RaaS)-Betrieb und wird hauptsächlich von in Russland ansässigen oder zumindest russischsprachigen Cyberkriminellen geleitet. Die Gruppe soll auch hinter dem Hacking des amerikanischen Softwareunternehmens Kaseya im Juli 2021 stecken, das zu weit verbreiteten Ausfallzeiten für mehr als 1.000 Unternehmen weltweit führte.
Tom Kellermann, Sicherheitschef von VMware und Berater des US-Geheimdienstes für Ermittlungen im Bereich Cyberkriminalität, sprach mit Reuters über die Operation der US-Regierung. Er sagte, dass die Aktion des FBI gegen REvil unternommen wurde “in Verbindung mit Cyber Command, dem Secret Service und gleichgesinnten Ländern.” Ihm zufolge stand REvil ganz oben auf der Liste der Cyberkriminalitätsgruppen, gegen die die US-Regierung in Zusammenarbeit mit ihren internationalen Partnern gearbeitet hat. REvil hat den Hack anscheinend auch bestätigt, wobei eine seiner angeblichen Führungsfiguren, die online als “0_neday” bekannt sind, sagt, dass eine unbekannte Partei die Server der Gruppe gehackt hat.
Laut von Reuters zitierten Quellen eskalierte das FBI die Operationen gegen REvil nach dem oben erwähnten Kaseya-Hack Anfang dieses Jahres. Nur wenige Tage nach diesem Angriff gelang es US-Cybersicherheitsexperten, sich in die Netzwerkinfrastruktur von REvil zu hacken und die Kontrolle über zumindest einige seiner Server zu erlangen, wodurch die Websites der Gruppe offline waren. Die Websites wurden Berichten zufolge letzten Monat im Rahmen von REvils Bemühungen, zu ihren schändlichen Wegen zurückzukehren, aber die Wiederherstellung ermöglichte es den US-Strafverfolgungsbehörden auch, ihre Operationen gegen die Bande wieder aufzunehmen, was in der neuesten Entwicklung gipfelte.
Das FBI lehnte es ab, sich zu dem Thema zu äußern, ebenso wie ein Sprecher des Nationalen Sicherheitsrats des Weißen Hauses. Letzterer bestätigte jedoch, dass die Behörden in Zusammenarbeit mit der Privatwirtschaft gegen Ransomware-Gruppen vorgehen und sind “Bilden einer internationalen Koalition, um Länder, die Lösegeldakteure beherbergen, zur Rechenschaft zu ziehen.”
Quelle: Reuters