Schlag gegen Sodinokibi/REvil

Europol schnappt Ransomware-Gangster

09.11.2021
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
In der EU wurden mutmaßliche Ransomware-Erpresser verhaftet. Die Verdächtigen sollen für 7.000 Ransomware-Attacken verantwortlich sein und versucht haben, über 200 Millionen Euro Lösegeld zu erpressen.
Strafverfolger durchsuchen einen Unterschlupf von Ransomware-Gangstern.
Strafverfolger durchsuchen einen Unterschlupf von Ransomware-Gangstern.
Foto: Europol

Nachdem die US-Behörden die REvil-Ransomware-Erpresser mit ihren eigenen Waffen schlugen und einen Teil derer Infrastruktur verschlüsselten, vermelden jetzt europäische Strafverfolger einen Erfolg. Sie verhafteten zwei weitere Cybergangster.

Operation GoldDust

Wie Europol erst jetzt mitteilte, nahmen die rumänischen Behörden am 4. November zwei Personen fest, die im Verdacht stehen, Cyberangriffe mit der Ransomware Sodinokibi/REvil durchgeführt zu haben. Sie sollen für 5.000 Cyberangriffe verantwortlich sein und dabei eine halbe Million Euro an Lösegeld eingesackt haben. Seit Februar 2021 haben die Strafverfolgungsbehörden ferner drei weitere Partner von Sodinokibi/REvil und zwei mit GandCrab verbundene Verdächtige festgenommen. All diese Festnahmen sind ein Ergebnis der gemeinsamen Bemühungen internationalerStrafverfolgungsbehörden zur Identifizierung, Abhörung und Beschlagnahme eines Teils der Infrastruktur, die von der Sodinokibi/REvil-Ransomware-Familie verwendet wird, die als Nachfolger von GandCrab gilt. Alle Aktionen sind Teil der Operation GoldDust, an der laut Europol 17 Länder, Europol, Eurojust und INTERPOL beteiligt waren.

Anti-REvil-Team in Europa

Seit 2019 wurde mehrere große internationale Unternehmen Opfer schwererCyberangriffe, bei denen die Ransomware Sodinokibi/REvil eingesetzt wurde. Frankreich, Deutschland, Rumänien, Europol und Eurojust verstärkten deshalb im Mai 2021 ihre Maßnahmen gegen diese Ransomware durch die Einrichtung eines gemeinsamen Ermittlungsteams.

Die Seite No More Ransomware stellt für einige Ransomware kostenlose Decrypter zur Verfügung.
Die Seite No More Ransomware stellt für einige Ransomware kostenlose Decrypter zur Verfügung.
Foto: NoMoreRansom.org

No More Ransom

Bitdefender stellte in Zusammenarbeit mit den Strafverfolgungsbehörden ein Tool auf der "No More Ransom"-Website zur Verfügung, das Opfern von Sodinokibi/REvil helfen soll, ihre Dateien wiederherzustellen. Derzeit bietet No More Ransom Entschlüsselungs-Tools für GandCrab (Versionen V1, V4 und V5 bis V5.2) und für Sodinokibi/REvil An.

Berichten zufolge halfen die Sodinokibi/REvil-Entschlüsselungs-Tools mehr als 1.400 Unternehmen, ihre Netzwerke zu entschlüsseln, und sparten ihnen fast 475 Millionen Euro an potenziellen Verlusten. Die für beide Ransomware-Familien zur Verfügung gestellten Tools ermöglichten mehr als 50.000 Entschlüsselungen, für die Cyberkriminelle etwa 520 Millionen Euro Lösegeld verlangt hatten.

Die Strafverfolger schlagen zurück

Anfang Oktober wurde ein Sodinokibi/REvil-Mitglied an der polnischen Grenze festgenommen, nachdem die USA einen internationalen Haftbefehl ausgestellt hatten. Der ukrainische Staatsbürger wird verdächtigt, den Angriff auf Kaseya begangen zu haben, von dem bis zu 1.500 nachgelagerte Unternehmen betroffen waren und für den Sodinokibi/REvil ein Lösegeld von rund 70 Millionen Euro verlangte.

Darüber hinaus schnappten die Behörden in Südkorea im Februar, April und Oktober 2021 drei Partner, die an den Ransomware-Familien GandCrab und Sodinokibi/REvil beteiligt waren und mehr als 1.500 Unternehmen angriffen. Am 4. November nahmen die kuwaitischen Behörden ein weiteres GandGrab-Mitglied fest. Damit wurden seit Februar 2021 insgesamt sieben Verdächtige im Zusammenhang mit den beiden Ransomware-Familien festgesetzt. Sie werden verdächtigt, insgesamt etwa 7.000 Opfer angegriffen zu haben.