REvil Ransomware
REvil ist eine Ransomware, die eigentlich Sodinokibi heisst und höchstwahrscheinlich von den GandCrab-Entwicklern stammt. Dieser Erpressertrojaner befiel seit 2018 weltweit unzählige Windowsrechner und die Gangster erbeuteten beträchtliche Lösegelder. Dann stellten sie im Juni 2019 die Verbreitung von GandCrab ein und entwickelten Sodinokibi, der als Trojaner wohl erstmals im April 2019 in den USA auftauchte und mittlerweile längst weltweit kursiert – auch in der Schweiz, Deutschland und Österreich.
Wie gelangt die REvil Ransomware auf die Rechner?
Offenkundig nutzt sie wie der Vorgänger GandCrab eine Sicherheitslücke im WebLogic Server von Oracle, nämlich CVE-2019-2729. Es gibt noch mehr Parallelen, die unabhängige IT-Security-Experten vermuten lassen, dass Sodinokibi von denselben Entwicklern wie GandCrab stammt. Unterschiede gibt es allerdings auch.
Unter anderem wiesen Fachleute des AV-Software-Herstellers G DATA auf signifikante Gemeinsamkeiten beim Vorgehen beider Trojaner hin. Eingeschleust wird er bei Unternehmen gern über Bewerbungsmails an Personalabteilungen. So gelangte schon GandCrab in Unternehmensnetzwerke. Unterschiede gibt es beim Code, wie die IT-Sicherheitsfirma Tesorion nachwies. Dennoch weisen wohl einzelne Teile der Codebase auffallende Ähnlichkeiten auf.
Tesorion kann sich sehr gut vorstellen, dass dieselben Kriminellen hinter beiden Trojanern stecken, finden allerdings hierfür keinen absolut sicheren Beweis. Nachgewiesen ist inzwischen, dass Sodinokibi schon spätestens Ende 2019 in Deutschland aktiv war. Mittlerweile nutzen die Cyberkriminellen für das Einschleusen hierzulande auch relativ gut gemachte BSI-Fake-Mails (Stand der Erkenntnis: Mai 2020). Es soll noch deutlich mehr Verbreitungswege geben. Ein wesentliches Merkmal des neuen Trojaners besteht darin, dass er eine grosse Bandbreite an Angriffsmöglichkeiten ausschöpft, die von massiven Spam-Kampagnen über Sicherheitslücken in der Server-Software des Opfers bis hin zu Malvertising reichen.
Prominente Opfer der Ransomware
Die Ransomware hat in den USA die Anwaltskanzlei Grubman Shire Meiselas & Sacks angegriffen und wohl auch massiv Daten abgeschöpft. Diese Kanzlei vertritt sehr prominente Klienten, darunter Facebook, Versace, Madonna, AC/DC, Calvin Klein, Barbra Streisand, Lady Gaga, Meg Ryan, Robert de Niro, Mike Tyson, Samsung, Spotify, Sony und Sting.
Es gibt noch mehr Prominente bei der gefragten New Yorker Kanzlei. Diese hatte ihre Kunden und Angestellten nach der ersten Lösegeldforderung umgehend benachrichtigt und verweigert nach eigenen Angaben bis heute die Zahlung. Dabei hatten die Cybergangster die Daten nicht nur einfach verschlüsselt, sondern auch kopiert. Sie drohen damit, sie an Interessenten zu verkaufen, die sie wohl in Untergrundforen veröffentlichen würden.
Inzwischen wollen sie sogar Donald Trump im Visier haben und fordern nach jüngsten Meldungen von der Kanzlei 42 Millionen Dollar, um die „schmutzige Wäsche des Präsidenten“ nicht ins Netz zu stellen, wie sie selbst scheinheilig angeben. Diese letzte Forderung stellt eine Verdoppelung des vorgehenden Erpressungsversuchs über 21 Millionen Dollar dar und könnte glatt ins Leere laufen – denn Grubman Shire Meiselas & Sacks verweigern nicht nur prinzipiell die Zahlung, sondern teilten auch mit, dass der US-Präsident keinesfalls zu ihren Klienten gehöre.
Unter den 750 GByte Daten, welche die Gangster wohl abgegriffen haben, sei nicht eine Zeile, die etwas mit Donald Trump zu tun habe, so ein Sprecher der Kanzlei. Das US-Magazin Page Six konnte inzwischen mit einer anonymen Quelle sprechen, die entweder aus der Kanzlei stammt oder dieser sehr nahe steht. Demnach bleibt Kanzleichef Grubman bei seiner eisernen Haltung: Er werde keinen Cent zahlen, wie es heisst. Das informierte FBI verfolge die Erpresser inzwischen als internationale Terroristen.