REvil: Kalkulierte Atempause?

21.01.2022
G DATA Blog

In Russland ist ein erfolgreicher Schlag gegen eine der umtriebigsten Gruppen in der Welt der Onlinekriminalität gelungen. Die REvil-Gruppe, alias Sodinokibi, alias Gandcrab habe „aufgehört zu existieren“, so ein Statement des russischen Inlandsgeheimdienstes FSB.

In den vergangenen zwölf Monaten gab es einige spektakuläre Nachrichten, die in einer scheinbaren goldenen Ära von Ransomware-Angriffen ein bisschen Hoffnung wecken. Vor knapp einem Jahr ließ Interpol mit dem Takedown der Schadsoftware Emotet  eine ziemlich große Bombe platzen. Im November 2021 gelang es dann in einer ebenfalls länderübergreifenden Polizeiaktion, Mitglieder der REvil-Gang in Rumänien festzusetzen. Bereits in den Monaten davor klickten in mehreren anderen Ländern die Handschellen bei einigen mutmaßlichen Mitgliedern der kriminellen Gruppe.

Mehr Fragen als Antworten

Das sind gute Nachrichten und eine willkommene Abwechslung zwischen den Berichten über teils verheerende Angriffe weltweit und Schäden in Millionenhöhe.

Im gleichen Atemzug stellt sich bereits seit längerem die Frage, wie eine effektive Reaktion auf das Gesamtphänomen “Ransomware” aussehen kann. Hierzu gibt es verschiedene Ansätze, von einem Verbot von Kryptowährungen bis hin zu Forderungen nach stärkerer Polizeiarbeit mit besserer personeller und technischer Ausstattung sowie mehr rechtlichen Möglichkeiten und verschärften Gesetzen. Letzerer Ansatz verfolgt beispielsweise auch den Gedanken, die Zahlung von Lösegeldern unter Strafe zu stellen. Ein aktiver multilateraler Diskurs zu all diesen Themen findet statt. Bisher ist eine einheitliche Linie oder eine von allen Seiten getragene Strategie allerdings nicht erkennbar.

Auf höchster Ebene

Dabei dürfen wir nur eine Sache nicht vergessen: Ransomware ist nicht zuletzt durch Angriffe auf einige große US-Firmen auch zum Politikum und zum Gegenstand diplomatischer Auseinandersetzungen auf höchster Ebene geworden. Allen voran im Diskurs zwischen der US-Regierung und der russischen Staatsführung.

Immer wieder haben Experten verlauten lassen, dass viele der verheerendsten Angriffe der jüngeren Vergangenheit ihren Ursprung mit sehr hoher Wahrscheinlichkeit auf russischem Gebiet haben. Betroffene wie auch politische Kreise haben sich angesichts der nicht abreißenden Angriffe erstaunt darüber gezeigt, dass die Tätergruppen, trotz der von ihnen angerichteten Milliardenschäden in aller Welt, scheinbar nicht mit dem gebotenen Nachdruck verfolgt würden. Die Putin-Administration musste sich auch schon den Vorwurf gefallen lassen, die Täter aktiv zu schützen – oder zumindest, um deren Aktivitäten zu wissen und sie stillschweigend zu dulden. Die russische Regierung weist diese Vorwürfe entschieden zurück. Dass nun mit REvil einer der großen Player auf dem kriminellen Spielfeld vorerst mattgesetzt ist, lässt sich vor diesem Hintergrund natürlich verschieden auslegen. Etwa als Geste des guten Willens.

Timing und Kalkül

Manch einer fragt sich vielleicht, wie es sein kann, dass ausgerechnet jetzt die Ausschaltung dieser Gruppierung und deren Aktivitäten publik wird. Schließlich existiert REvil ja nicht erst seit kurzem, sondern ist wie die Emotet-Gruppe beinahe so etwas wie ein „kriminelles Urgestein“. Auf der „Most Wanted“-Liste der Amerikaner stehen die Täter hinter der REvil-Gruppe ganz weit oben, nicht zuletzt auch wegen der erfolgreichen Angriffe auf Kaseya und den Nahrungsmittelproduzenten JBS. Einige Journalisten haben daher die Verhaftungen als „Warnschuss“ der russischen Behörden in Richtung der Drahtzieher hinter REvil gedeutet und als Signal an andere Gruppierungen, sich mit Angriffen gegen US-Ziele zurückzuhalten. An anderer Stelle ist von einem „Bauernopfer“ die Rede, welches zwar die USA beruhige, aber keinen großen Einfluss auf das sonstige Cybercrime-Geschehen hat.

Pokerchips und Bauernopfer

Doch so gerne die USA die Täter (sofern ihre Tatbeteiligung zweifelsfrei nachgewiesen werden kann) selbst vor Gericht stellen und verurteilen würde, es ist mehr als unwahrscheinlich, dass Russland einem Auslieferungsgesuch hinsichtlich der mutmaßlichen Täter nachkommen wird. Das entspricht der Vorgehensweise, die Russland auch in der Vergangenheit bereits demonstriert hat und  überführte Straftäter keiner ausländischen Gerichtsbarkeit überantwortet. Effektiv bedeutet das, dass ein Täter das Land nicht mehr verlassen kann, da beim Grenzübertritt sofort mit einer Verhaftung zu rechnen ist.

Der Schlag gegen REvil unter Federführung des russischen Inlandsgeheimdienstes FSB (dieser nimmt unter anderem Aufgaben wahr, die in etwa denen des deutschen Verfassungsschutzes entsprechen) kommt zu einem günstigen Zeitpunkt. Gerade vor dem Hintergrund der Spannungen in der Ukraine ergibt sich eine Interpretation, die die Verhaftungen als Entgegenkommen der russischen Regierung deuten lässt, als Pokerchip in einem Spiel, in dem Putins Regierung immer wieder klar macht, dass sie eine Ost-Erweiterung der NATO nicht wünscht.

Allerdings sind solche Zugriffe auch oft das Ergebnis eines langen Ermittlungsverfahrens. Ein dem Autor bekannter Ermittler sagte zu solchen Verfahren: „Es gibt eine Sache, die jeder in unserem Bereich mitbringen sollte, und das ist eine hohe Frustrationstoleranz. Manchmal stellenwir plötzlich fest, dass wir monatelang komplett für den Papierkorb gearbeitet haben. Wer damit nicht umgehen kann, macht den Job nicht lange.“

Zeit zum Atemholen

Die Euphorie angesichts einer erfolgreichen Polizeiaktion gegen ein kriminelles Netzwerk erhält jedoch vermutlich bald einen Dämpfer . Denn nach dem Ende von Emotet im Februar 2021 war die „gefährlichste Schadsoftware der Welt“ bereits im November 2021 wieder da - mit neuer Infrastruktur und altem Elan. Auch GandCrab/REvil/Sodinokibi wird über kurz oder lang neue Aktivitäten entfalten. Es wäre sehr überraschend, wenn dem nicht so wäre. Ein Fahndungserfolg – aus welcher Motivation heraus er auch erfolgt – gönnt der Welt bestenfalls eine kurze Atempause.

Update: REvil bleibt weiterhin stumm

Es gab in den letzten Tagen vermehrt Berichte, dass es trotz der erfolgten Festnahmen weiterhin Aktivität bei REvil gibt. Bisher konnten wir dafür allerdings keinerlei Anzeichen feststellen. Zum einen sind die Aktivitäten bereits im Juli 2021 massiv eingebrochen, zum anderen gibt es seit Anfang Oktober keine aktuellen Versionen. Diese tauchen sonst in wesentlich höherer Frequenz auf.

Bildnachweis: Ron Lach von Pexels

Tim Berghoff
Security Evangelist

Die besten Beiträge per Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar