Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

PC & Internet Ransomware: Razzia gegen REvil-Gang in Rumänien

Die rumänischen Behörden haben zwei Personen verhaftet, die verdächtigt werden, Cyberangriffe mit der Ransomware Sodinokibi/REvil durchgeführt zu haben.

Strafverfolgungsbehörden unter anderem aus zwölf europäischen Staaten inklusive Deutschland, den USA und der EU ist offenbar ein Schlag gegen die kriminelle Gruppe REvil alias Sodinokibi gelungen: Rumänische Fahnder haben zwei Verdächtige verhaftet, denen sie IT-Attacken mit der gleichnamigen Ransomware zur Last legen. Sie sollen für 5000 Infektionen mit dem Verschlüsselungstrojaner verantwortlich sein, über die sie insgesamt eine halbe Million Euro an Lösegeldzahlungen eintrieben.

Du musst Regestriert sein, um das angehängte Bild zusehen.


500.000 Euro Lösegelder

Die REvil-Gruppe trat 2019 als Nachfolgerin der inzwischen nicht mehr existierenden GandCrab-Bande auf. Sie gilt als eine der besonders umtriebigen Ransomware-Schmieden im Darknet. Seit Februar 2021 haben die an der Operation GoldDust beteiligten Polizeiämter drei weitere Mitglieder von Sodinokibi/REvil und zwei Verdächtige in Verbindung mit GandCrab verhaftet, wie Europol am Montag mitteilte. An den Ermittlungen waren demnach auch Behörden aus Kanada, den Philippinen, Südkorea und Kuwait beteiligt.

Die insgesamt sieben Verhaftungen folgten laut Europol auf die gemeinsamen internationalen Bemühungen der Strafverfolgerteams, einen Teil der von der REvil-Ransomware-Familie genutzten Infrastruktur zu identifizieren und zu beschlagnahmen. Dabei seien auch Mitglieder der Gang abgehört worden. Die anderen Zugriffe auf zugehörige Personen sind in Europa, Südkorea und Kuwait im Lauf des Jahres erfolgt. Alle Geschnappten sollen zusammen für Angriffe auf rund 7000 Opfer verantwortlich gewesen sein.

Mitglieder des REvil-Partnerprogramms haben in den vergangenen Jahren tausende IT-Unternehmen, Service-Provider und Einzelhändler auf der ganzen Welt ins Visier genommen. Nach dem erfolgreichen Verschlüsseln der Daten einer Firma forderten sie hohe Lösegelder von bis zu 70 Millionen US-Dollar im Austausch für einen Entschlüsselungskey und die Gewähr, dass die während des Angriffs erbeuteten internen Daten nicht veröffentlicht würden.

Internationale Zusammenarbeit

Frankreich, Deutschland, Rumänien, Europol und die europäische Staatsanwaltschaft Eurojust verstärkten daher die Maßnahmen gegen die Bande im Mai, indem sie ein gemeinsames Ermittlungsteam einrichteten. Zuvor hatte Europol bereit seit 2018 eine Untersuchung unter rumänischer Leitung unterstützt, die sich gegen GandCrab richtete und an der Strafverfolgungsbehörden etwa auch aus Großbritannien und den USA beteiligt waren.

Das EU-Polizeiamt erleichterte bei der Operation nach eigener Darstellung den Informationsaustausch, half bei der Koordination zwischen den Beteiligten und leistete operative analytische Unterstützung. Man habe zudem Analysen in den Bereichen Kryptowährungen, Schadsoftware und Forensik durchgeführt. Während der jüngsten Aktionstage seien Europol-Experten an jeden beteiligten Standort geschickt worden. Ein "virtueller Gefechtsstand" habe die Durchführung der Razzien erleichtert.

Die IT-Sicherheitsfirma Bitdefender hatte im September ein neues universelles Entschlüsselungstool für Betroffene aller REvil-Ransomware-Angriffe bis Juli veröffentlicht. Europol dankte dem Cybersicherheitssektor dafür, entscheidend zur "Minimierung des Schadens" durch Erpressungstrojaner beigetragen zu haben. Viele Partner hätten bereits Instrumente für eine Reihe solcher Malware über die Webseite No More Ransom bereitgestellt. Derzeit seien dort Entschlüsselungshilfen für GandCrab (Version 1, 4 und 5 bis 5.2) und für Sodinokibi/REvil verfügbar. Neben Bitdefender hätten unter anderem KPN und McAfee den Fahndern mit technischem Fachwissen unter die Arme gegriffen.

Zuletzt waren Strafverfolger aus Europa und den USA gegen "Cyber-Akteure" vorgegangen, die unter anderem die Verschlüsselungstrojaner LockerGoga, MegaCortex und Dharma eingesetzt haben sollen. Zuvor hatten Sicherheitsbehörden inklusive Europol im Oktober eine ukrainische Ransomware-Gang ausgehoben.

Quelle; heise
 

Anhänge

Du musst angemeldet sein, um die Anhangsliste zu sehen.
Tausende Cyber-Attacken - Ermittler nehmen mehrere Verdächtige fest

Internationalen Ermittlern ist ein Schlag gegen Hacker gelungen, die für Tausende Attacken auf Organisationen und Unternehmen verantwortlich sein sollen. Das US-Justizministerium teilte am Montag in Washington mit, in Polen sei ein Ukrainer gefasst worden, der im Verdacht stehe, unter anderem hinter der großen Cyberattacke auf den amerikanischen IT-Dienstleister Kaseya zu stecken. Über eine Schwachstelle bei Kaseya waren Anfang Juli Hunderte Unternehmen in den USA und anderen Ländern mit Erpressungssoftware angegriffen worden. Die Polizeibehörde Europol teilte in Den Haag mit, in Rumänien seien zwei Menschen festgenommen worden, die mit der gleichen Software Attacken begangen haben sollen. Die Festnahmen seien Teil einer internationalen Operation gewesen.

US-Präsident Joe Biden sagte, die Vereinigten Staaten gingen zusammen mit internationalen Partnern mit aller Kraft gegen Cyber-Kriminelle vor. Es gebe noch viel zu tun, doch die USA hätten bereits wichtige Schritte unternommen, um kritische Infrastrukturen besser zu schützen, Angreifer zur Rechenschaft zu ziehen und internationale Netzwerke von Hackern auseinanderzunehmen.

17 Länder waren laut Europol in die Ermittlungen eingebunden, darunter die USA, Deutschland, Frankreich, die Niederlande, Polen, Rumänien und Kanada. In Deutschland war nach Angaben der europäischen Justizbehörde Eurojust die Staatsanwaltschaft Stuttgart federführend.

Über mehrere Monate seien in verschiedenen Ländern insgesamt sieben Verdächtige festgenommen worden, teilte Europol mit. Sie stünden im Verdacht, bei sogenannten Ransomware-Attacken rund 7000 Ziele angegriffen und Millionensummen erbeutet zu haben.

Bei Angriffen mit Erpressungssoftware - auch Ransomware genannt - werden Daten auf Computern verschlüsselt, und die Hacker verlangen Geld für die Freigabe. Die Attacken der Festgenommenen richteten sich nach Angaben von Eurojust gegen Firmen, aber auch Kommunen, Krankenhäuser, Justiz, Schulen und Universitäten. Fünf der Festgenommenen hätten Angriffe mit der Software REvil verübt.

Die gleichnamige Hackergruppe hatte in den vergangenen Monaten mit großen Attacken für Aufsehen gesorgt. Beim Kaseya-Angriff hatte die Gruppe REvil auf ihrer Website im Darknet 70 Millionen Dollar für einen Generalschlüssel zu allen betroffenen Computern verlangt. Da viele der betroffenen Kaseya-Kunden selbst IT-Dienstleister für andere sind, reichten die Auswirkungen der Attacke zum Beispiel bis nach Schweden, wo die Supermarkt-Kette Coop Hunderte Läden wegen nicht funktionierender Kassensysteme nicht öffnen konnte.

Wenige Wochen zuvor hatte REvil-Software mehrere Werke des weltgrößten Fleischkonzerns JBS lahmgelegt - ebenfalls mit internationalen Auswirkungen. Die Gruppe kassierte damals vom Unternehmen elf Millionen Dollar Lösegeld in Kryptowährungen.

US-Justizminister Merrick Garland sagte in Washington, bislang sei REvil-Software bei Attacken auf etwa 175 000 Computer weltweit eingeschleust worden, mindestens 200 Millionen US-Dollar Lösegeld seien bei Angriffen mit der Software schon gezahlt worden. Der im Zusammenhang mit der Software festgenommene 22 Jahre alte Ukrainer sei auf Ersuchen der USA bei der Einreise nach Polen gefasst worden. Seine Auslieferung in die Vereinigten Staaten sei beantragt.

Das US-Justizministerium habe außerdem 6,1 Millionen US-Dollar beschlagnahmt, die ein anderer REvil-Hacker mit Ransomware-Attacken erbeutet haben soll, sagte Garland. Der 28 Jahre alte Russe solle etwa 3000 Ziele mit Erpressungssoftware angegriffen haben.

Das US-Außenministerium lobte am Montag eine Belohnung in Millionen-Höhe aus für Hinweise, die zur Identifizierung oder Festsetzung von Führungsfiguren der Gruppe REvil führen - oder von all jenen, die in Attacken mit der Software verwickelt sind.

Eine ähnliche Belohnung hatte die US-Regierung vor wenigen Tagen mit Blick auf die Hackergruppe DarkSide ausgeschrieben, die nach Einschätzung der USA für die Cyberattacke auf die größte Benzin-Pipeline Amerikas im Frühjahr verantwortlich war. Infolge der Attacke wurde der Betrieb der Pipeline, durch die etwa 45 Prozent aller an der US-Ostküste verbrauchten Kraftstoffe laufen, zeitweise komplett eingestellt. In Teilen des Landes kam es zu Benzin-Engpässen. Die Hacker waren damals in das Computer-Netzwerk des Pipeline-Betreibers eingedrungen und hatten ein Lösegeld in Millionenhöhe gefordert, das das Unternehmen auch zahlte.

Quelle; INFOSAT
 
Operation GoldDust: Mitglieder der REvil Ransomware-Bande gefasst

REvil wurde in den letzten Jahren für Hacks auf globale Unternehmen verantwortlich gemacht. Nun müssen sich Mitglieder der Justiz stellen.

Ein weltweit geführter Polizeieinsatz hat einer der produktivsten Cyberkriminalitätsbanden der Geschichte einen verheerenden Schlag versetzt. Die Operation GoldDust hat Europol speziell zur Bekämpfung der REvil Ransomware-Gruppe ins Leben gerufen. Sowohl Europol, als auch das U.S. Department of Justice (DOJ) berichteten darüber.

Seit Februar 2021 haben Ermittler im Rahmen der Operation bereits insgesamt 7 Festnahmen in Rumänien, der Ukraine, Südkorea und Kuwait vorgenommen. Behörden aus insgesamt 17 Ländern waren mit den Ermittlungen betraut. Auch deutsche Beamte des Landeskriminalamtes Baden-Württemberg waren an der Verfolgung der Straftäter beteiligt.

Operation GoldDust führte zu Festnahme des Kaseya-Hackers

Zwei am 4. November in Rumänien im Rahmen der Operation GoldDust festgenommene Personen werden verdächtigt, mittels Cyberangriffen mit der Ransomware Sodinokibi/REvil 5.000 Infektionen herbeigeführt zu haben. Insgesamt hätten allein die Beiden eine halbe Million Euro an Lösegeldzahlungen dabei eingenommen. Den Ukrainer, namens Yaroslav Vasinskyiuf, hat man auf Ersuchen der USA Anfang Oktober bei der Einreise nach Polen gefasst. Seine Auslieferung in die Vereinigten Staaten sei bereits beantragt.

Der 22-Jährige, im Netz auch bekannt unter Rabotnik, soll gemäß FBI für den Angriff auf das in Florida ansässige Softwareunternehmen Kaseya verantwortlich sein. Dieser Hack gilt als größter Angriff mittels REvil-Ransomware. Hierbei waren bis zu 1.500 nachgelagerte Unternehmen betroffen. REvil verlangte infolge ein Lösegeld von rund 70 Millionen Euro. Bei einer Verurteilung in allen Anklagepunkten drohen Vasinskyiuf bis zu 115 Jahre Haft.

Du musst angemeldet sein, um Medien zu sehen.

REvil erpresste Lösegelder in Millionenhöhe

Die Ransomware REvil, auch bekannt unter Sodinokibi, trat laut Untersuchungen von McAfee Ende April 2019 zum ersten Mal in Erscheinung. Die Angreifer nutzten hier eine Sicherheitsanfälligkeit in Oracle WebLogic-Servern aus. Seither ist der Ransomware-Stamm mit dem koordinierten Angriff auf zahlreiche Gemeinden, US-Zahnarztpraxen sowie Unternehmen verbunden. Neben dem Staatstheater waren auch in Deutschland noch mehrere mittelständische Unternehmen und auch Krankenhäuser von den Erpressungen der Gruppe betroffen.

Zu weiteren Opfern der REvil Ransomware-Gang zählen u.a. Acer im März diesen Jahres. Vom taiwanesischen Computerhersteller forderten die Hacker eine Lösegeldzahlung in Höhe von 50 Millionen US-Dollar. Ein weiteres Opfer war JBS SA, der weltweit größte Fleischproduzent. Dieser zahlte im Juni 11 Millionen US-Dollar an REvil. Der im Mai durchgeführte Cyberangriff auf die Pipeline Colonial führte zu Engpässen bei der Benzinversorgung in Teilen der USA. Hier flossen 4,4 Millionen Dollar an Lösegeld. Allerdings haben Ermittler den Großteil der Bitcoin-Lösegeldzahlung zurückerlangt. Immerhin 63,7 Bitcoin seien dabei wiederbeschafft worden.

Gestern gab das DOJ bekannt, dass es gelang, weitere Vermögenswerte in Höhe von 6,1 Millionen US-Dollar von der Krypto-Handelsbörse FTX zu beschlagnahmen, die auf angebliche Lösegeldzahlungen mit der REvil-Ransomware zurückzuführen sind. Erbeutet hätte diese der 28-jährige russische Staatsbürger Yevgeniy Polyanin. Ihm wirft man vor, ca. 3.000 Ziele mit Erpressungssoftware angegriffen zu haben. Polyanin befindet sich im Ausland weiterhin auf freiem Fuß.

Er sieht sich allerdings ganz ähnlichen Anklagepunkten wie Vasinskyi ausgesetzt. So soll er REvil-Ransomware-Angriffe gegen mehrere Unternehmen und Regierungsstellen in Texas seit August 2019 durchgeführt haben. Bei einer Festnahme drohen Polyanin bis zu 145 Jahre Gefängnis, berichtet thehill.

Ransomware-Group-Websites plötzlich offline

Mitte Juli ist es plötzlich still geworden um REvil. Deren Ransomware-Group-Website ging überraschend offline. Bis dahin sagte man der Ransomware-Gang nach, sie hätte mehr als 360 US-Ziele gehackt. Satte 42 Prozent aller Ransomware-Angriffe der letzten Zeit würden auf REvil zurückzuführen sein.

Bereits Anfang September hieß es dann jedoch, dass die russischsprachigen Cyberkriminellen REvil einen Teil ihrer Infrastruktur wieder online gebracht haben. Offensichtlich wollten sie nach der kurzen Pause ihre Geschäfte weiter fortführen. Infolge berichtete Reuters Ende Oktober, dass die REvil-Site erneut offline wäre. Strafverfolgungsbehörden bekamen Zugriff auf deren Systeme. „Ironischerweise hat sich die bevorzugte Taktik der Bande, die Backups zu kompromittieren, gegen sie selbst gerichtet“, zitierte Reuters dabei einen Security-Experten.
REvil agierte als Franchise-Unternehmen

REvil vermietet seine Erpressersoftware indessen auch an andere Kriminelle. Dafür kassierten sie dann Gebühren. Das Geschäftsmodell bezeichnet man als »Ransomware as a service«. Das Ransomware-as-a-Service (RaaS)-Angebot wird als Affiliate-Service betrieben. Die Affiliates verbreiten die Malware weiter durch ständig neue Opfer und die REvil-Betreiber warten die Malware- und Zahlungsinfrastruktur.

REvil ist maximal konfigurierbar und ermöglicht es den Bedienern, das Verhalten auf dem infizierten Host anzupassen. Partner erhalten 60% bis 70% der Lösegeldzahlung. REvil ist ein RaaS in dem Sinne, dass eine einzelne Gruppe die Entwicklung der Ransomware betreibt und verwaltet. Den Zugriff verkaufen sie an verbundene Unternehmen.

Die US-Regierung bietet eine Belohnung von immerhin bis zu 10 Millionen US-Dollar für Informationen, die zur Verhaftung der REvil-Führung führen, und bis zu 5 Millionen US-Dollar für Informationen über Personen, die für die Gruppe arbeiten. Entsprechend kündigte das Außenministerium aktuell an:

„ein Angebot zur Belohnung für transnationale organisierte Kriminalität in Höhe von bis zu 10.000.000 US-Dollar für Informationen an, die zur Identifizierung oder zum Standort von Personen führen, die eine Schlüsselposition in der transnationalen organisierten Kriminalitätsgruppe Sodinokibi/REvil-Ransomware innehaben (22 USC §2708(b)(6)). Das Außenministerium kündigte außerdem ein Belohnungsangebot von bis zu 5.000.000 US-Dollar für Informationen an, die in einem beliebigen Land zur Festnahme und/oder Verurteilung einer Person führen, die sich zur Teilnahme an einem Ransomware-Vorfall der Sodinokibi-Variante verschwört oder versucht, daran teilzunehmen.“

Quelle; Tarnkappe
 
Zurück
Oben