REvil Ransomware
REvil ist eine Ransomware, die eigentlich Sodinokibi heisst und höchstwahrscheinlich von den GandCrab-Entwicklern stammt. Dieser Erpressertrojaner befiel seit 2018 weltweit unzählige Windows-Rechner – die Hintermänner erbeuteten dabei beträchtliche Lösegelder. Im Juni 2019 stellten sie die Verbreitung von GandCrab ein und entwickelten Sodinokibi: erstmals aufgetaucht im April 2019 in den USA, seither weltweit aktiv – auch in der Schweiz, Deutschland und Österreich.
Wie gelangt die REvil Ransomware auf die Rechner?
Sie nutzt wie der Vorgänger GandCrab eine Sicherheitslücke im WebLogic Server von Oracle – konkret CVE-2019-2729. Fachleute des AV-Herstellers G DATA wiesen auf signifikante Gemeinsamkeiten im Vorgehen beider Trojaner hin. In Unternehmen gelangt er besonders gerne über Bewerbungsmails an Personalabteilungen – genau so schaffte es bereits GandCrab in Firmennetzwerke.
Beim Code gibt es allerdings Unterschiede, wie die IT-Sicherheitsfirma Tesorion nachwies. Einzelne Teile der Codebase weisen dennoch auffallende Ähnlichkeiten auf. Tesorion hält es für gut möglich, dass dieselben Kriminellen hinter beiden Trojanern stecken – einen absolut sicheren Beweis gibt es dafür nicht.
Nachgewiesen ist, dass Sodinokibi spätestens Ende 2019 in Deutschland aktiv war. Seither nutzen die Cyberkriminellen hierzulande auch gefälschte BSI-Mails als Einschleusmethode (Stand: Mai 2020). Ein wesentliches Merkmal des Trojaners: Er schöpft eine breite Palette an Angriffsmöglichkeiten aus – von massiven Spam-Kampagnen über Server-Sicherheitslücken bis hin zu Malvertising.
Prominente Opfer der Ransomware
In den USA hat die Ransomware die Anwaltskanzlei Grubman Shire Meiselas & Sacks angegriffen und dabei wohl massiv Daten abgeschöpft. Die Kanzlei vertritt prominente Klienten: Facebook, Versace, Madonna, AC/DC, Calvin Klein, Barbra Streisand, Lady Gaga, Meg Ryan, Robert de Niro, Mike Tyson, Samsung, Spotify, Sony und Sting.
Nach der ersten Lösegeldforderung informierte die Kanzlei umgehend Kunden und Angestellte – und verweigert nach eigenen Angaben bis heute jede Zahlung. Die Cybergangster hatten die Daten nicht nur verschlüsselt, sondern auch kopiert. Sie drohen damit, sie in Untergrundforen zu verkaufen.
Seither behaupten die Angreifer, auch Material über Donald Trump zu besitzen. Sie forderten von der Kanzlei zuletzt 42 Millionen Dollar, um die „schmutzige Wäsche des Präsidenten“ nicht zu veröffentlichen. Diese Forderung ist eine Verdoppelung des vorangegangenen Erpressungsversuchs über 21 Millionen Dollar – und dürfte ins Leere laufen. Grubman Shire Meiselas & Sacks verweigern nicht nur grundsätzlich die Zahlung, sondern teilten auch mit, dass Trump kein Klient der Kanzlei sei.
Unter den 750 GByte Daten, die die Gangster abgegriffen haben wollen, befinde sich keine einzige Zeile mit Bezug zu Donald Trump, so ein Kanzleisprecher. Das US-Magazin Page Six sprach mit einer anonymen Quelle aus dem Umfeld der Kanzlei: Kanzleichef Grubman bleibe bei seiner Haltung – kein Cent werde gezahlt. Das FBI verfolgt die Erpresser inzwischen als internationale Terroristen.