Warum REvil-Ransomware Group down ging - eine Vermutung!

Netzwelt
1

Da ja momentan Gott und die Welt darüber spekulieren, wieso die REvil-Group alle Sites im Clearweb und Darknet abgeschaltet hat, sowie ihre komplette Infrastruktur dahinter, möchte ich mal folgende Vermutung dazu äussern! Im Übrigen hat das wenig mit Geheimdiensten der USA und / oder der russischen Regierung zu schaffen!
Die Beweggründe sind viel perfider gestrickt, wie man vermuten kann!! :wink:

===================================================================================

LV-Ransomware-Gang kapert REvils Binärdatei:

In einem Fall, den man als Piraterie unter Cybercrime-Banden bezeichnen kann, scheint die LV-Ransomware-Gang die binäre Nutzlast der berüchtigteren REvil-Gruppe gekapert und modifiziert zu haben.

Laut den Sicherheitsforschern von Secureworks scheint die LV-Gang die Binärdatei in die Hände bekommen zu haben, die bei einem REvil-Angriff die eigentliche Verschlüsselung in infizierten Netzwerken durchführt.

Laut den Forschern scheint die LV-Gang einen Hex-Editor verwendet zu haben, um diese Binärdatei und ihre Konfigurationsdatei zu modifizieren.

Das Ergebnis ihrer Modifikationen ist eine REvil-Ransomware-Variante, die von Sicherheitsfirmen seit Anfang des Jahres als LV-Ransomware erkannt wird.

In einem Bericht, der am 22.06.2021 veröffentlicht wurde, sagt Secureworks, dass die Verbindungen zwischen LV und der ursprünglichen REvil-Binärdatei offensichtlich waren, als sie den LV-Code genauer analysierten.

So enthält der LV-Stamm sogar Reste eines REvil-Codeblocks, in dem die REvil-Bande zwei prominente Malware-Analysten beleidigt hatte.

Basierend auf diesen und anderen gefundenen Verbindungen scheint die LV-Gang laut Secureworks eine Beta-Version von REvil v2.03 modifiziert zu haben, aus der schließlich die offizielle LV-Ransomware wurde.

Trotz ihres eklatanten Copy-Paste-Jobs, der es ihnen ermöglichte, mit nahezu null Entwicklungskosten Zugang zu einer erstklassigen Ransomware-Nutzlast zu erlangen, ist die LV-Gang laut Secureworks in Bezug auf ihre Backend-Infrastruktur nicht mit der REvil-Gang gleichzusetzen.

So entfernte die LV-Gang beispielsweise Command-and-Control-Server (C&C), die die REvil-Gang zur Verfolgung von Infektionen nutzte. Anstatt sie jedoch durch eigene Server zu ersetzen, ließ die LV-Gang diesen Bereich leer.

Laut Secureworks deutet dies darauf hin, dass die LV-Gruppe „möglicherweise nicht in der Lage ist, eine C2-Infrastruktur zu unterhalten oder die Backend-Automatisierung zu entwickeln, die für die Verarbeitung und Verfolgung der Daten der Opfer erforderlich ist.“

Diese Theorie wurde auch bestätigt, nachdem die Secureworks-Analysten feststellten, dass die Dark-Web-Portale, auf denen die LV-Opfer ihre Lösegelder bezahlen sollten, oft nicht funktionierten oder Fehler zurückgaben, wenn Opfer und Analysten versuchten, auf sie zuzugreifen.

Secureworks glaubt, dass dies ein Hinweis darauf sein könnte, dass die LV-Bande „aufgrund mangelnder Fähigkeiten oder unzureichender Ressourcen Schwierigkeiten hat, eine belastbare Infrastruktur aufrechtzuerhalten.“

Darüber hinaus versuchte die LV-Gang, die REvil-Gang zu imitieren, indem sie „Leak-Sites“ im Dark Web einrichtete, auf denen sie den Opfern droht, ihre Daten zu veröffentlichen, wenn sie nicht zahlen.

Secureworks sagte jedoch, dass ihnen etwas Seltsames aufgefallen sei, da die Gruppe nie Daten für irgendwelche Opfer, die sie auf ihrem Leak-Portal auflistete, durchsickern ließ. Dies deutet darauf hin, dass die Gruppe möglicherweise nicht über die Speicherkapazität verfügt, um die von ihren Opfern gestohlenen Daten zu speichern.

Außerdem fiel Secureworks auf, dass die LV-Gang in der ersten Hälfte des Jahres 2021 zwei separate, aber identische Leak-Seiten betrieb, die mit Ausnahme eines Eintrags jeweils andere Opfer auflisteten. Der Grund dafür bleibt unklar.

Bevor Hacking-Foren ein Verbot von Ransomware-Werbung durchsetzten, wurde die LV-Gang nie dabei gesehen, ihre Ransomware bei anderen Gruppen zu bewerben. Secureworks sagt jedoch, dass es kürzlich verschiedene Partner- und Kampagnen-IDs in LV-Konfigurationsdateien entdeckt hat, was darauf hindeutet, dass die Gang entweder bereits mit anderen Cybercrime-Gangs zusammenarbeitet oder sich zumindest darauf vorbereitet, in naher Zukunft ein Ransomware-as-a-Service-Angebot (RaaS) zu starten.

Was die REvil-Gang betrifft, so glaubt Secureworks, dass der LV-Piratenvorfall die Gruppe dazu veranlassen könnte, ihre Code-Komplexität und Sicherheit zu verbessern, um solche Modifikationen ihrer Konfigurationsdateien für künftige Binärdateien zu verhindern, was gleichzeitig auch das Leben von Sicherheitsanalysten erheblich erschweren wird.

Wie lange die LV-Operation überleben wird, bleibt unklar, aber Secureworks sagte, dass die Gruppe zwar noch keinen Zugang zu großen Ressourcen hat, um eine Ransomware-Operation im großen Stil zu betreiben, dass sie aber zumindest über die technischen Fähigkeiten verfügt, basierend auf ihrer ziemlich vollständigen Arbeit, die REvil-Nutzlast-Binärdatei zu kapern.

image

image
image1012×682 53.3 KB

image

Weitere Infos:

https://www.secureworks.com/research/lv-ransomware

2

und das neueste zur REvil-Group am 14.01.2022 auf https://www.securityweek.com/russia-lays-smackdown-revil-ransomware-gang:

Russland macht der Ransomware-Bande REvil den Garaus:

Russland erklärte am Freitag, dass es hart gegen die berüchtigte Hackergruppe REvil vorgegangen ist, die für ihren viel beachteten Angriff auf den Softwarehersteller Kaseya und einen Ransomware-Angriff auf JBS USA bekannt ist, der die Schließung eines Teils des weltweit größten Fleischverarbeitungsunternehmens erzwang.

Die Mitglieder der Hackergruppe, die auch unter dem Namen Sodinokibi bekannt ist, wurden in Russland wegen Verbrechen angeklagt, und ihre Infrastruktur wurde „liquidiert“, wie die Öffentlichkeitsarbeit des Moskauer Geheimdienstes FSB gegenüber der russischen Nachrichtenagentur Interfax erklärte.

Die von den russischen Behörden durchgeführte Sonderoperation erfolgte Berichten zufolge auf Ersuchen der Vereinigten Staaten.

„Der russische Geheimdienst FSB hat die vollständige Zusammensetzung der kriminellen Gemeinschaft REvil und die Beteiligung ihrer Mitglieder am illegalen Umlauf von Zahlungsmitteln festgestellt und eine Dokumentation der illegalen Aktivitäten durchgeführt“, heißt es in einer übersetzten Erklärung des Geheimdienstes.

Nach Angaben des FSB wurden mehr als 426 Millionen Rubel (ca. 5,6 Millionen US-Dollar) aus den Häusern von 14 Mitgliedern der kriminellen Bande beschlagnahmt - darunter in Kryptowährung, 600.000 US-Dollar und 500.000 Euro - zusammen mit Computerausrüstung, Krypto-Wallets, die zur Begehung von Verbrechen verwendet wurden, und 20 Luxusautos.

REvil, das 2019 auftauchte, wurde als Nachfolger von GandCrab beschrieben. Es wurden auch einige Verbindungen zwischen REvil und DarkSide gefunden, der Ransomware, die bei dem äußerst störenden Angriff auf Colonial Pipeline im vergangenen Jahr verwendet wurde.

Im Juli 2021, etwa zwei Wochen nach dem Angriff auf Kaseya und der Forderung nach einem Lösegeld in Höhe von 70 Millionen US-Dollar, ging die Dark-Web-Website von REvil offline, was Spekulationen darüber auslöste, ob dieser Schritt das Ergebnis einer von der Regierung gesteuerten Aktion war.

Im Oktober wurden Tor-Server, die mit der REvil-Ransomware-Bande in Verbindung stehen, im Rahmen einer laufenden, länderübergreifenden Hack-Back-Operation beschlagnahmt. Eines der Mitglieder der Gruppe hatte eine Abschiedsnachricht in seinem Blog veröffentlicht, in der es bestätigte, dass sein Server kompromittiert worden war.

Ende November wurde bekannt, dass Strafverfolgungsbehörden in mehreren Ländern insgesamt fünf Personen verhaftet hatten, die angeblich mit REvil-Operationen in Verbindung standen.
Rusland

Einer der Festgenommenen, ein ukrainischer Staatsangehöriger, wurde später von den Vereinigten Staaten zusammen mit einem russischen Staatsangehörigen wegen ihrer mutmaßlichen Rolle bei REvil-Ransomware-Angriffen angeklagt, einschließlich des Angriffs auf Kaseya.

Die USA hatten sich um die Auslieferung des Ukrainers Yaroslav Vasinskyi bemüht, nachdem dieser in Polen verhaftet worden war, aber der Russe war noch auf freiem Fuß, als die Anklage bekannt gegeben wurde.

Das Vorgehen gegen REvil und andere Ransomware-Banden erfolgte, nachdem die USA den Druck auf Russland erhöht hatten, gegen Cyber-Kriminelle vorzugehen.

Also für` s erste weg vom Fenster-gotttseidank

3

Wieso das wohl ausgerechnet jetzt passiert ist, ein paar Tage nach den amerikanisch - russischen Verhandlungen zur Ukraine…Ein Schelm der dabei pöses denkt :bangbang:
hühner21

Etwas billig, nach fast 2,5 Jahren harter Arbeit?!! Nach eigenen Angaben zufolge, wollten sie mit ihrem Schädling 2 Milliarden US-Dollar machen (Aussage von Mitte 2020)
Im gesamten Jahr 2020 waren es wohl ca. 100 Millionen US-Dollar Cash und nochmal 67 Millionen US-Dollar in Krypto :bangbang:
Zu der finalen Abrechnung fehlen dann trotzdem noch ca. 1,5 Jahre…Bei bleepingcomputer im Chat hatte man mal gesagt, das zusammen wohl um die 250 Millionen US-Dollar abgezogen worden sind.
31_4af50679155b6e037df699747a78becb

Die aktuelle beschlagnahmte Beute sind ja mal grad um die 1,8% davon!

Da REvil zuletzt ja auf die Restrukturierte Emotet C&Cs mit gesetzt hatte (ab November 2021), ist dieses aktuelle Echtzeit-Bild doch recht vielsagend :joy:

Firstseen (UTC) Host Malware Status Network (ASN) Country
2022-01-11 21:45:06 69.16.218.101 Emotet Online AS32244 LIQUIDWEB - US
2022-01-11 19:20:05 45.138.98.34 Emotet Offline AS9009 M247 - DE
2022-01-11 10:30:09 209.59.138.75 Emotet Online AS32244 LIQUIDWEB - US
2022-01-11 10:30:09 131.100.24.231 Emotet Online AS61635 GOPLEX TELECOMUNICACOES E INTERNET LTDA - ME - BR
2021-12-24 19:46:10 23.253.208.162 Emotet Offline AS19994 RACKSPACE - US
2021-12-24 19:46:09 54.37.70.105 Emotet Online AS16276 OVH - FR
2021-12-23 21:31:09 104.168.155.129 Emotet Online AS54290 HOSTWINDS - US
2021-12-23 21:31:08 144.217.91.150 Emotet Offline AS16276 OVH - CA
2021-12-23 21:31:07 51.38.71.0 Emotet Online AS16276 OVH - GB
2021-12-21 07:55:34 54.37.212.235 Emotet Offline AS16276 OVH - FR
2021-12-21 07:21:10 162.214.50.39 Emotet Online AS46606 UNIFIEDLAYER-AS-1 - US
2021-12-21 07:21:08 45.15.23.184 Emotet Offline AS203523 VIRTONO-NETWORKS - RO
2021-12-20 16:56:13 159.65.1.71 Emotet Online AS14061 DIGITALOCEAN-ASN - SG
2021-12-20 16:56:10 144.202.34.169 Emotet Offline AS20473 AS-CHOOPA - US
2021-12-14 21:36:14 1.234.65.61 Emotet Online AS9318 SKB-AS SK Broadband Co Ltd - KR
2021-12-07 16:20:11 131.100.24.199 Emotet Online AS61635 GOPLEX TELECOMUNICACOES E INTERNET LTDA - ME - BR
2021-12-07 16:20:08 94.177.218.33 Emotet Offline AS31034 ARUBA-ASN - IT
2021-12-07 16:20:08 176.31.163.17 Emotet Online AS16276 OVH - FR
2021-12-03 00:05:10 102.177.192.60 Emotet Offline AS328230 Hammer-and-Tongues-AS - ZW
2021-12-03 00:05:09 202.29.237.113 Emotet Offline AS4621 UNINET-AS-AP UNINET- - TH
2021-12-03 00:05:09 207.210.201.159 Emotet Offline AS62729 ASMALLORANGE1 - US
2021-12-03 00:05:09 164.90.159.54 Emotet Online AS14061 DIGITALOCEAN-ASN - US
2021-12-03 00:05:09 91.207.181.106 Emotet Online AS48275 TSMS-ABKHAZIA-AS - RU
2021-12-03 00:05:08 51.75.33.120 Emotet Offline AS16276 OVH - PL
2021-12-03 00:05:08 109.75.64.100 Emotet Online AS59931 LEBOL-AS - LB
2021-12-03 00:05:08 198.27.67.35 Emotet Offline AS16276 OVH - CA
2021-12-03 00:05:08 104.238.138.234 Emotet Offline AS20473 AS-CHOOPA - US
2021-12-03 00:05:07 51.159.35.157 Emotet Offline AS12876 Online SAS - FR
2021-12-03 00:05:07 207.180.228.237 Emotet Offline AS51167 CONTABO - DE
2021-12-03 00:00:12 116.124.128.206 Emotet Online AS9318 SKB-AS SK Broadband Co Ltd - KR
2021-12-03 00:00:09 209.239.112.82 Emotet Offline AS30083 AS-30083-GO-DADDY-COM-LLC - US
2021-12-02 09:10:09 31.207.89.74 Emotet Offline AS45037 HISPAWEB-NETWORK - ES
2021-12-02 09:10:08 172.104.227.98 Emotet Online AS63949 LINODE-AP Linode, LLC - DE
2021-11-30 22:40:10 119.59.125.140 Emotet Online AS56067 METRABYTE-TH 453 Ladplacout Jorakhaebua - TH
2021-11-30 22:40:08 142.93.66.245 Emotet Offline AS14061 DIGITALOCEAN-ASN - US
2021-11-30 22:40:07 62.171.184.244 Emotet Offline AS51167 CONTABO - DE
2021-11-30 22:40:07 62.210.82.223 Emotet Offline AS12876 Online SAS - FR
2021-11-30 16:40:07 104.245.52.73 Emotet Offline AS63251 METRO-WIRELESS - US
2021-11-30 16:40:05 46.55.222.11 Emotet Online AS51582 DCC- - BG
2021-11-30 16:35:09 128.199.192.135 Emotet Online AS14061 DIGITALOCEAN-ASN - SG
2021-11-30 16:35:07 45.63.5.129 Emotet Offline AS20473 AS-CHOOPA - US
2021-11-25 17:20:05 188.165.214.166 Emotet Offline AS16276 OVH - FR
2021-11-25 17:05:07 41.76.108.46 Emotet Online AS327979 DIAMATRIX - ZA
2021-11-20 16:45:09 51.79.205.117 Emotet Online AS16276 OVH - SG
2021-11-20 16:45:08 104.130.140.69 Emotet Offline AS33070 RMH-14 - US
2021-11-20 16:45:07 178.79.144.87 Emotet Offline AS63949 LINODE-AP Linode, LLC - GB
2021-11-20 16:45:06 51.178.186.134 Emotet Online AS16276 OVH - FR
2021-11-20 16:45:06 51.91.142.158 Emotet Online AS16276 OVH - FR
2021-11-17 17:00:38 122.129.203.163 Emotet Online AS38763 CYBERBINTAN-AS-ID PT. Cyber Bintan - ID
2021-11-17 17:00:37 31.220.49.39 Emotet Offline AS47583 AS-HOSTINGER - CY
2021-11-17 04:55:35 62.210.200.63 Emotet Offline AS12876 Online SAS - FR
2021-11-16 23:55:38 191.252.196.221 Emotet Offline AS27715 Locaweb Servicos de Internet SA - BR
2021-11-16 23:00:35 91.200.186.228 Emotet Offline AS43962 INTEN - PL
2021-11-16 18:20:39 202.29.239.161 Emotet Online AS4621 UNINET-AS-AP UNINET- - TH
2021-11-16 15:30:05 185.184.25.237 Emotet Offline AS209711 MUVHOST - TR
2021-11-16 12:57:52 103.161.172.108 Emotet Offline AS135951 WEBICO-AS-VN Webico Company Limited - VN
2021-11-16 12:57:48 93.188.167.97 Emotet Online AS47583 AS-HOSTINGER - CY
2021-11-16 12:57:47 163.172.50.82 Emotet Offline AS12876 Online SAS - FR
2021-11-16 06:57:31 45.79.33.48 Emotet Offline AS63949 LINODE-AP Linode, LLC - US
2021-11-16 06:14:59 210.57.217.132 Emotet Offline AS38142 UNAIR-AS-ID Universitas Airlangga - ID
2021-11-16 06:14:54 51.68.175.8 Emotet Offline AS16276 OVH - FR
2021-11-15 19:41:19 177.72.80.14 Emotet Online AS262543 BRMOM CONSTRUINDO CONEXOES LTDA - BR
2021-11-15 19:25:04 51.210.242.234 Emotet Offline AS16276 OVH - FR
2021-11-15 19:25:03 51.178.61.60 Emotet Online AS16276 OVH - FR
2021-11-15 19:25:02 196.44.98.190 Emotet Offline AS327814 Ecoband - GH
2021-11-15 19:24:59 185.148.169.10 Emotet Offline AS24679 SSERV-AS - DE
2021-11-15 19:24:41 142.4.219.173 Emotet Online AS16276 OVH - CA
2021-11-15 19:13:43 168.197.250.14 Emotet Online AS264776 Omar Anselmo Ripoll TDC NET - AR
2021-11-15 17:59:19 94.177.248.64 Emotet Offline AS199883 ARUBACLOUDLTD-ASN - GB
2021-11-15 17:59:18 81.0.236.93 Emotet Offline AS15685 CASABLANCA-AS Internet & Collocation Provider - CZ
2021-11-15 17:59:17 66.42.55.5 Emotet Offline AS20473 AS-CHOOPA - SG
2021-11-15 17:59:12 45.76.176.10 Emotet Offline AS20473 AS-CHOOPA - SG
2021-11-15 17:59:07 188.93.125.116 Emotet Offline AS35779 MCLOUD-AS - RS
2021-11-15 17:59:06 103.8.26.103 Emotet Online AS132241 SKSATECH1-MY SKSA TECHNOLOGY SDN BHD - MY
2021-11-15 17:59:02 103.8.26.102 Emotet Online AS132241 SKSATECH1-MY SKSA TECHNOLOGY SDN BHD - MY