Eine der bekanntesten Cybercrimegruppen ist zurück: Die Ransomware-Spezialisten von „Revil“ sind vor wenigen Tagen wieder aufgetaucht und veröffentlichen gestohlene Dateien auf ihrem Blog im Darknet. Die Gruppe ist bekannt dafür, Unternehmen zu attackieren und deren Systeme zu verschlüsseln. Für die Freischaltung fordern die Hacker dann hohe Millionensummen.
Im Juli war „Revil“ der erste sogenannte Supply-Chain-Hack gelungen und dadurch zu fragwürdigem Weltruhm gelangt. Dabei infizierten die Hacker den US-amerikanischen IT-Dienstleister Kaseya. Dadurch wurde eine Kettenreaktion ausgelöst, schätzungsweise 1.500 Kaseya-Kunden standen danach vor verschlüsselten Rechnern.
Unter den Opfern sollen auch mehrere hundert deutsche Unternehmen gewesen sein. Für einen Universalschlüssel zur Freischaltung forderte die mutmaßlich russische „Revil“ 70 Millionen US-Dollar in der Kryptowährung Bitcoin.
Ransomware: „Revil“ verschwand plötzlich
Doch danach folgte eine seltsame Wendung: Von heute auf morgen verschwand „Revil“ von der Bildfläche. Betroffene Unternehmen konnten in der Folge nicht einmal mehr über die Freischaltung ihrer Systeme verhandeln.
Kurz darauf gab der ursprünglich gehackte IT-Dienstleister Kaseya jedoch überraschend bekannt, einen Universalschlüssel von einer „vertrauenswürdigen Drittpartei“ erhalten zu haben. Gerüchte gingen um, dass es sich dabei um die US-Geheimdienste NSA oder CIA gehandelt haben könnte. Denn zu den „Revil“-Opfern zählte der US-Fleischriese JBS Foods. Von einer anderen Gruppe wurde der Ölversorger Colonial Pipeline erpresst. Beide Konzerne spielen für die US-amerikanische Infrastruktur und Lebensmittelversorgung eine zentrale Rolle.
DerTreasurer-Themenseiten
Treasury-Abteilungen müssen sich in Acht nehmen
Nun die Wende: Am 7. September ist „Revil“ unter gleichem Namen nun wieder aufgetaucht. Beobachter hatten mit einem Comeback unter anderer Flagge gerechnet. Das Fachportal „Bleeping Computer“ berichtet, alle Timer früherer Opfer seien neu gestartet worden. Die Hacker wollen das Geld offenbar doch noch einsammeln.
Weiterhin ist unklar, was zu dem plötzlichen Verschwinden der Hackergruppe geführt hat. In einem russischen Hackerforum behauptet ein User namens „Revil“, einer der Schlüsselfiguren der Gruppe sei festgenommen worden. In einem Verhandlungschat heißt es dagegen, man habe sich eine Pause gegönnt. Sicher ist: Eine der gefährlichsten Ransomware-Gruppen ist wieder aktiv. Treasurer und ihre Unternehmen sollten aufmerksam bleiben.
Jakob Eich ist Redakteur der Fachzeitungen FINANCE und DerTreasurer des Fachverlags F.A.Z Business Media, bei dem er auch sein Volontariat absolviert hat. Der gebürtige Schleswig-Holsteiner ist spezialisiert auf die Themen Digitalisierung im Finanzbereich und Treasury.