REvil-Ransomware
REvil ist das häufig verwendete Handle für eine Gruppe von Bedrohungsakteuren, die sich hauptsächlich mit Ransomware beschäftigt. Dieselbe kriminelle Gruppe wird manchmal als Sodinokibi bezeichnet, nach dem Namen einer anderen Ransomware-Variante, die die Gruppe ursprünglich verwendet hat.
REvil ist ein privater Betrieb, der von Cyberkriminellen betrieben wird, die einen Ransomware-as-a-Service-Ring betreiben. Verbundene Parteien können in gewisser Weise die Serverinfrastruktur und die Ransomware-Nutzlasten von REvil vermieten und eigene Angriffe starten, um potenzielle illegale Gewinne aus bezahltem Lösegeld mit der REvil-Gruppe aufzuteilen.
Es gibt keine stichhaltigen Beweise für das Land, von dem aus REvil operiert, aber es gibt Spekulationen, dass die Gruppe ihren Sitz in Russland haben könnte, da sie nie einen Angriff auf Unternehmen und Ziele in Russland oder in anderen Ländern gestartet hat zum sogenannten Ex-Sowjetblock. Es gibt auch Spekulationen, dass die REvil-Gruppe irgendwie mit der DarkSide-Bedrohungsgruppe verwandt ist, da der Code der Ransomware, die die beiden Hackergruppen verwenden, gewisse Ähnlichkeiten aufweist.
Die REvil-Gruppe ist seit Ende 2019 im Visier der infosec-Community, mit deutlichen Angriffen und Aktivitäten im Jahr 2020.
Bemerkenswerte vergangene Angriffe, die REvil zugeschrieben werden
Zu den bemerkenswertesten Angriffen von REvil in der Vergangenheit gehört der Angriff auf Quanta Computers, einen Hardwarehersteller mit Sitz in Taiwan. REvil stahl bei dem Angriff Pläne und Unterlagen zu kommenden Apple-Produkten.
Vor etwas mehr als einem Monat stand REvil auch hinter dem massiven Ransomware-Auftrag bei JBS USA Holdings – dem größten Frischfleischlieferanten in den USA. Der Angriff gipfelte darin, dass JBS massive 11 Millionen US-Dollar an die Hacker zahlte, um ein Entschlüsselungstool zu erhalten und ihre Netzwerke wieder in den normalen Betriebszustand zu versetzen.
Im Juni 2021 übernahm REvil auch die Verantwortung für den Ransomware-Angriff, der von einem US-amerikanischen Hersteller von Stromerzeugungsanlagen gemeldet wurde.
Neue Angriffsversuche von REvil Ransomware-Hackern, die während der Feiertage am 4. Juli auf Hunderte von Unternehmen abzielen
Am 4. Juli-Wochenende begann eine Cyber-Kampagne mit der Ransomware REvil gegen Unternehmen in Nordamerika. Bei diesem speziellen Angriff, der als Supply-Chain-Angriff bekannt ist, nutzte REvil eine vom IT-Support-Unternehmen Kaseya entwickelte Remote-Desktop-Software eines Drittanbieters, um seine Nutzlast auf andere Unternehmen zu verteilen.
Das Unternehmen gab an, dass seine Remote-Software verwendet wurde, um REvil an ahnungslose Opfer zu verbreiten. Berichten zufolge sind mindestens 200 US-Unternehmen sowie 40 internationale Unternehmen betroffen.
Der REvil-Ransomware-Angriff wurde am Freitag, den 2. Juli entdeckt, nachdem REvil ein Software-Update verwendet hatte, um die Remote-Desktop-Dienste von Kaseya zu kompromittieren. Als Reaktion auf den Angriff schaltete das Unternehmen seine SaaS-Server zum Schutz der Kundendaten ab und forderte sie auf, Vorsichtsmaßnahmen gegen den Hack zu treffen. Da der Angriff jedoch gerade zu Beginn der Feiertage am 4. Juli stattfand, ist es wahrscheinlich, dass sich die Reaktionen der betroffenen Unternehmen auf die Bedrohung verzögern.