REvil-Ransomware: Neue Strategien zur Erpressung von Opfern

Ransomware REvil: Neue Taktiken sollen Druck auf Opfer erhöhen

Die Betreiber der Ransomware REvil planen eine Erweiterung ihres Druckmittels gegen Opfer. Ziel ist es Angriffe öffentlich zu machen wenn Zahlungsausforderungen ignoriert werden. Medienkontakte und Geschäftspartner des Opfers sollen gleichermaßen in die Erpressung einbezogen werden. Zusätzlich sollen DDoS-Angriffe die Systemwiederherstellung verzögern; dies wird laut Berichten von Bleeping Computer genutzt um den Druck auf die Opfer zu erhöhen.



Hintergrund und Ursprung von REvil


REvil, ebenfalls bekannt als Sodinokibi, trat erstmals Abschluss April 2019 in Erscheinung. Der Ausbruch setzte an einer Sicherheitslücke in Oracle WebLogic-Servern an. Seitdem wurde der Stamm mit mehreren koordinierten Angriffen verbunden, darunter Angriffe auf über 23 texanische Gemeinden, 400 US-Zahnarztpraxen gleichermaßen den Managed Service Provider CyrusOne und CTS, dem IT-Dienstleister für Zahnarztpraxen.



Der Ransomware-Stamm zeichnet sich durch eine hohe Anpassungsfähigkeit aus. Betreiber lassen das Verhalten der Malware auf dem infizierten System anpassen. Der Service wird als Ransomware-as-a-Service (RaaS) angeboten. Affiliates verbreiten die Malware – während die Betreiber die Infrastrukturen für Malware und Zahlung verwalten. Partner bekommen 60 bis 70 Prozentsatz der Lösegeldzahlungen.



RaaS-Modell und Gewinnverteilung


Im Modell tätig sein mehrere Akteure zusammen. Eine zentrale Gruppe verantwortet die Entwicklung und Verwaltung der Malware. Zugriff auf die Tools und die Zahlungsabwicklung wird an verbundene Unternehmen verkauft. Die Affiliates tragen die Infektionsarbeit aus und liefern neue Opfer, während die Betreiber das Ökosystem betreiben und pflegen.



Neu angekündigte Taktiken


In der letzten Woche wurden neue Funktionen angekündigt. Die Ankündigungen erfolgten in einem öffentlich zugänglichen Forum für russischsprachige Cyberkriminelle. Ein Sicherheitsforscher wies auf die Meldungen hin. Die REvil-Gruppe nutzte Forenthreads um weitere Partner zu erzielen. Ziel ist offenbar » Gruppen zu finden « die sich auf die Verletzung von Unternehmensnetzwerken spezialisiert haben.



Bereits im Februar suchte die Bande nach neuen Mitarbeitern für DDoS-Angriffe. Eine weitere taktische Erweiterung ist ein kostenloser Dienst der VoIP-Anrufe mit Sprachverschlüsselung an Medien und Geschäftspartner des Opfers ermöglicht. Über solche Anrufe sollen die Angreifer Informationen über den Angriff verbreiten. Die Betreiber gehen davon aus; dass Offenlegung durch persönliche Kontakte zu Kunden und Partnern zusätzlichen Druck auf das Opfer erzeugt.



Kernpunkte der neuen Maßnahmen


  • Offene öffentliche Offenlegung des Angriffs gegenüber Journalisten und Geschäftspartnern.
  • Kooperationen mit weiteren Gruppen zur Netzwerkinfiltration und Angriffskoordination.
  • Kostenlose VoIP-Dienste für verschlüsselte Anrufsitzungen an Medien und Partner des Opfers.
  • Rekrutierung von DDoS-Fachkräften als Teil der Durchsetzungsmacht gegen Betroffene.


Auswirkungen auf Opfer


Die angekündigten Taktiken steigern die psychologische Belastung der betroffenen Organisationen. Die Aussicht auf öffentliche Enthüllungen und Verzögerungen bei der Systemwiederherstellung kann zu zusätzlichen Zahlungsverpflichtungen führen. Medienkontakte und Partnernetzwerke werden als Druckinstrumente genutzt um das Vertrauen in die Sicherheit zu untergraben.



Gegenmaßnahmen und Schutzmaßnahmen


  • Regelmäßige Patch-Führung und Patch-Management, speziell für WebLogic-Server und ähnliche Plattformen.
  • Netzwerküberwachung auf ungewöhnliche Zugriffe und koordinierte Versuche der Datensicherung.
  • Starke Email- und VoIP-Sicherheit, inkl․ Verschlüsselung und Monitoring verdächtiger Anrufe.
  • Robuste Backup-Strategien, getrennt von Produktionssystemen, mit regelmäßigen Wiederherstellungstests.
  • Incident-Response-Vorhaben, offensichtliche Meldewege und Kooperation mit Strafverfolgungsbehörden.
  • Schulung von Mitarbeitenden zu Erpressungs- und Phishing-Taktiken, Minimierung menschlicher Fehler.


Hinweis: Die dargestellten Informationen dienen der Einordnung und der Stärkung von Abwehrmaßnahmen. Die Inhalte beschreiben Bedrohungsszenarien auf hohem Abstraktionsniveau und richten sich an Sicherheitsverantwortliche in Organisationen.


Zuletzt aktualisiert am




Kommentare


Ähnliche News

REvil: Die Rückkehr der Ransomware-Gruppe

 REvil: Ransomware Gruppierung wieder aktiv

Die berüchtigte Hacker-Gruppierung REvil ist wieder aktiv und hat auf ihrem Blog zwei neue Opfer bekannt gegeben: die Visotec Group und Oil India. Beide Unternehmen sind potente Akteure in ihren jeweiligen Branchen, mit einem Jahresumsatz von 24 Millionen USD bzw․ drei Milliarden USD.






Anzeige