Zum Inhalt springen

Aktion gegen Cyber-Erpresser? Hackergruppe REvil verschwindet urplötzlich aus Darknet

Ob die Ransomware-Erpresser freiwillig abtauchten oder aus dem Verkehr gezogen wurden, ist derzeit unklar.

Die Hackergruppe REvil, die jüngst mit zwei grossen Lösegeld-Angriffen für Schlagzeilen sorgte, ist schlagartig aus dem Netz verschwunden. Die Website, über die Kontakt zu den Opfern ihrer Attacken gehalten wurde, ging am Dienstag offline, wie IT-Sicherheitsexperten berichteten.

Auch die Chat-Funktion und Zahlungsportale sind weg. Myriam Dunn Cavelty, Expertin für Cyber-Sicherheit am Center for Security Studies der ETH Zürich, bestätigt: «Die Gruppe ist vollständig aus dem Darknet verschwunden. Das ist ziemlich verblüffend. Soweit ich weiss, hat man das so noch nie beobachtet.»

Reaktion auf amerikanischen Druck?

Die Gründe dafür blieben zunächst unklar. Die Gruppe wird von Experten in Russland verortet. US-Präsident Joe Biden hatte vergangene Woche nach Gesprächen mit dem russischen Präsidenten Wladimir Putin mit Konsequenzen gedroht, falls die Regierung in Moskau nicht gegen kriminelle Hacker auf ihrem Boden vorgeht.

Spekuliert wird nun, dass die USA oder auch der russische Geheimdienst den Server abgeschaltet haben könnten. Dunn Cavelty hält es jedoch für unwahrscheinlich, dass die USA verantwortlich für das plötzliche Verschwinden von REvil sind – obwohl sie den Druck zuletzt massiv erhöht haben. «Ich halte es für am wahrscheinlichsten, dass REvil einfach zu erfolgreich war und zu viel Aufmerksamkeit erhalten hat – und dadurch eine stärkere Aktion gegen sich befürchtet hat.»

Demnach könnte die Hackergruppe selbst den Stecker gezogen haben, um sich aus der Schusslinie zu nehmen. Die Sicherheitsexpertin kann sich denn auch vorstellen, dass die Gruppe unter neuem Namen und mit neuer Infrastruktur wieder auftaucht.

REvil – eine höchst erfolgreiche Hackergruppe

Box aufklappen Box zuklappen

Bei Angriffen mit Erpressungs-Software – auch Ransomware genannt – werden die Daten auf Computern verschlüsselt, und die Hacker verlangen Geld für die Freigabe. REvil steckte zuletzt nach Einschätzung von Experten hinter der Attacke auf den amerikanischen IT-Dienstleister Kaseya, von der Computersysteme bei Dutzenden Kunden betroffen waren.

Wenige Wochen zuvor legte REvil-Software mehrere Werke des weltgrössten Fleischkonzerns JBS lahm – und kassierte vom Unternehmen elf Millionen Dollar Lösegeld in Kryptowährungen. Beim Kaseya-Angriff verlangten die Hacker auf ihrer Website im Darknet 70 Millionen Dollar für einen Generalschlüssel zu allen betroffenen Computern.

Das Geschäft mit Cyber-Attacken scheint in Russland zu florieren. Vor kurzem war auch die Online-Präsenz der ebenfalls in Russland vermuteten Hackergruppe Darkside verschwunden. Die Hacker hatten mit einer Cyber-Attacke auf eine wichtige US-Benzinpipeline rund 4.4 Millionen Dollar in Kryptowährungen erpresst. Gut die Hälfte davon wurde allerdings wenig später von der US-Bundespolizei FBI beschlagnahmt.

REvils Verschwinden «opportun» für Russland

Ein weiteres Problem: Entsprechende Software wird auch an Dritte verkauft, die wiederum beliebig Angriffe auf Firmen und Institutionen starten und diese erpressen können. Expertin Dunn Cavelty glaubt nicht, dass dies auf Dauer im Interesse der russischen Regierung sein kann.

Es stimme zwar, dass die russische Regierung die organisierte Kriminalität im Cyberspace bis zu einem gewissen Grad dulde. «Zum anderen ist es aber auch nicht einfach, Cyber-Kriminellen, die oft länderübergreifend agieren, habhaft zu werden.»

Mann mit Kapuze sitzt an Computer
Legende: Ein Staat müsse bewusst in die entsprechenden Ressourcen investieren, um Cyber-Kriminelle effektiv verfolgen zu können, sagt Dunn Cavelty – von den Nachrichtendiensten über das Militär bis hin zu den polizeilichen Fähigkeiten. Keystone/Symbolbild

Für die russische Seite sei das Verschwinden von REvil zum jetzigen Zeitpunkt sehr opportun, um Goodwill bei den USA zu schaffen. «Egal, ob sie selber daran beteiligt war oder nicht.» Mit Blick in die Zukunft hält Dunn Cavelty ein gemeinsames Vorgehen Russlands und der USA gegen Cyber-Kriminalität durchaus für denkbar. Die Voraussetzung: «Eine gemeinsame Vorstellung davon, was man will und was man nicht will – und gemeinsame Interessen.»

Letztlich gilt es aber auch, zwischen kommerziellen Hackergruppen und solchen zu unterscheiden, die politische Ziele verfolgen und etwa von Geheimdiensten eingesetzt werden. «Bei Cybercrime geht es immer um Geld, bei politisch-strategischem Hacken geht es um geheime Daten oder darum, den Gegner zu manipulieren.» Die Kooperationsbereitschaft bei der Abwehr von Cyber-Attacken dürfte also natürliche Grenzen kennen.

Rendez-vous, 14.07.2021, 12:30 Uhr ; 

Meistgelesene Artikel