1. Zum Inhalt springen
  2. Zur Hauptnavigation springen
  3. Zu weiteren Angeboten der DW springen

Hackergruppe REvil verschwunden

14. Juli 2021

Die russische Hackergruppe REvil, die für jüngste Cyberangriffe und Lösegeldforderungen verantwortlich gemacht wird, ist offline. Das ist nicht für jeden eine gute Nachricht. Wer hat den Stecker gezogen?

https://p.dw.com/p/3wSxa
Symbolbild Computerkriminalität
Bild: picture alliance / Alexey Malgavko/Sputnik/dpa

Der Name der Gruppe REvil ist Programm: evil ist englisch für böse, R steht für Ransomware. Dabei werden Computer mit einer Schadsoftware infiziert, die Daten stiehlt oder den Zugang zu ihnen blockiert. Die Opfer, meist Unternehmen, müssen dann Lösegeld zahlen, um ihre Daten wiederzusehen.

Ein spektakulärer Fall fand erst vor knapp zwei Wochen statt, als die US-Firma Kaseya Opfer ein Ransomware-Attacke wurde. Kaseya vertreibt Software, mit der Unternehmen ihre IT-Systeme fernwarten können, und so verbreitete sich die Schadsoftware rasch. Laut Kaseya waren 1500 Firmen betroffen, andere schätzen die Zahl der Opfer noch höher.

Schweden Stockholm | Geschlossener Coop nach IT-Angriff
Geschlossen wegen einer Störung des Kassensystems: Vom Angriff auf Kaseya waren auch 800 Filialen der schwedischen Supermarkkette Coop betroffen.Bild: Ali Lorestani/TT/picture alliance

Die Hackergruppe REvil, deren Mitglieder in Russland vermutet werden, stellte nach der Attacke Lösegeldforderungen in Höhe von 70 Millionen Dollar, zu zahlen in der Kryptowährung Bitcoin.

Schon im Mai war REvil mit dem Angriff auf den brasilianischen Fleischkonzern JBS ein Coup gelungen. Mitte Juni gab JBS bekannt, REvil ein Lösegeld von elf Millionen US-Dollar gezahlt zu haben, knapp die Hälfte der ursprünglich geforderten Summe.

Komplett offline

Seit Dienstag aber scheint die erfolgreichste Ransomware-Gang der Welt und sämtliche ihrer Webseiten komplett aus dem Netz verschwunden zu sein.

"Alle REvil-Seiten sind offline, einschließlich der Bezahlseite und der Data-Leak-Seite", schrieb Lawrence Abrams, Betreiber der US-Tech-Seite bleepingcomputer.

Im sogenannten Darknet, jenem Teil des Internets, der viel Schutz für illegale Aktivitäten bietet, hatte REvil Seiten betrieben, über die betroffene Firmen über ihr Lösegeld verhandeln und es dann bezahlen konnten. Um den Druck auf die Firmen zu erhöhen, gab es zudem einen öffentlichen Blog, auf dem REvil die Opfer seiner Attacken bloßstellte.

Weil diese komplette Infrastruktur von jetzt auf gleich verschwunden ist, rätseln Experten und Beobachter, wer dafür verantwortlich war.

Das Telefonat

Erst am Freitag hatte US-Präsident Joe Biden eine Stunde mit Russlands Staatschef Wladimir Putin telefoniert und dabei vor allem über russische Hackerangriffe gesprochen. Er habe Putin "sehr deutlich" gemacht, dass die USA von ihm Maßnahmen erwarteten, selbst wenn die Hacker nicht von der russischen Regierung gesteuert würden, sagte Biden.

Hat Putin also genau das getan, als Zeichen guten Willens? Oder haben die USA selbst die Initiative ergriffen?

Als Biden nach dem Telefonat mit Putin von einem Journalisten gefragt wurde, ob die USA bei fehlender Kooperation Russlands die Server der Hacker auch selbst angreifen könnten, lächelte der Präsident und antwortete mit einem knappen "Ja".

Ein US-Regierungsvertreter hatte zudem gesagt, in den kommenden Tagen oder Wochen sei mit Reaktionen Washingtons zu rechnen, ohne aber Details zu nennen.

Technisch wären die USA dazu in der Lage. Im vergangenen Jahr war das Cyber Command, eine auf elektronische Kriegsführung spezialisierte US-Militärbehörde, aktiv gegen russische Botnetze vorgegangen, um die Präsidentschaftswahlen vor Einflussnahme zu schützen.

USA Benzinknappheit Schlange vor Tankstelle
Die Colonial Pipeline in den USA wurde im Mai Opfer eines Hackerangriffs, aber nicht durch REvil. Anschließend kam es an vielen Tankstellen zu Schlangen. Später konnte das FBI Teile des Lösegelds sicherstellen. Bild: Logan Cyrus/AFP

Weder die russische noch die amerikanische Seite haben sich bisher zum Verschwinden von REvil geäußert. Auch die Hackergruppe selbst, die sich in der Vergangenheit über einen Sprecher namens Unknown in verschiedenen Foren geäußert hatte, schweigt.

Möglich ist auch, dass REvil seine Seiten selbst vom Netz genommen hat - weil der Druck zu groß geworden war, um unterzutauchen oder um unter einem anderen Namen weiterzumachen.

Das Problem der Opfer

Für einige REvil-Opfer ist das Verschwinden der Gruppe aber ein Problem. Firmen, die noch dabei waren, über ein Lösegeld zu verhandeln, fehlt nun der Ansprechpartner, sagt Kurtis Minder, Chef der IT-Sicherheitsfirma GroupSense, der selbst schon mehrfach solche Verhandlungen geführt hat.

"Wenn das ein organisierter Cyberangriff (gegen REvil) war, dann hoffe ich, dass man sich auch Gedanken über die Kollateralschäden gemacht hat", so Minder.

Wenn bei der Aktion nämlich die Codes zerstört wurden oder verloren gingen, mit denen die Hacker die gestohlenen Daten der Firmen verschlüsselt haben, werde es für die Opfer sehr schwierig, an ihre Daten zu kommen.

Ein paar von Hackern genutzte Server anzugreifen sei langfristig keine nachhaltige Strategie. "REvil ist nur ein von Dutzenden großer Ransomware-Akteure", so Minder. "Sollen wir die etwa alle angreifen?"

Andreas Becker
Andreas Becker Wirtschaftsredakteur mit Blick auf Welthandel, Geldpolitik, Globalisierung und Verteilungsfragen.