{"id":8478,"date":"2021-11-30T13:29:15","date_gmt":"2021-11-30T12:29:15","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=8478"},"modified":"2026-01-22T13:56:56","modified_gmt":"2026-01-22T12:56:56","slug":"revil-hacker-geschnappt","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/revil-hacker-geschnappt\/","title":{"rendered":"REvil: Hacker geschnappt, Gefahr gebannt?"},"content":{"rendered":"

Die Ransomware-Gang REvil besch\u00e4ftigt die IT-Welt nicht erst seit gestern: Schon 2019 warnten wir<\/a> vor gef\u00e4lschten Bewerbungen, denen der Verschl\u00fcsselungstrojaner angeh\u00e4ngt wurde.<\/p>\n

2021 fielen die REvil-Hacker erneut auf: Acer, der Apple-Fertiger Quanta und die US-Firma Kaseya geh\u00f6rten bereits zu den Opfern; wir berichteten<\/a>. Nun ist internationalen Ermittelnden ein Schlag gegen die REvil-Hacker gelungen. Im heutigen Beitrag erfahren Sie mehr zu diesen Ermittlungserfolgen \u2013 und dar\u00fcber, warum das f\u00fcr Sie keine Entwarnung bedeutet.<\/p>\n

REvil in den Schlagzeilen<\/h2>\n

Kann man Kriminellen trauen? \u2013 Eine Frage, die \u201eKunden\u201c der Erpressergruppe REvil eindeutig mit \u201enein\u201c beantworten m\u00fcssen, denn: Tats\u00e4chlich kam der Verschl\u00fcsselungstrojaner bei kriminellen Kollegen so gut an, dass diese ihn auch nutzen wollten. Also boten die REvil-Hacker ihr Tool als Ransomware-as-a-Service im Darknet an. Womit diese Nachahmungst\u00e4ter wohl nicht gerechnet h\u00e4tten, ist die geheime Hintert\u00fcr, \u00fcber die sich die REvil-Hacker weiter bereichern konnten: Verschl\u00fcsselte Daten lie\u00dfen sich so wiederherstellen und man schaltete sich in die Verhandlungen zwischen den Angreifenden und den Opfern dieser Angriffe.<\/p>\n

Der Angriff auf Kaseya, f\u00fcr den die REvil-Gruppe verantwortlich war, zog Dutzende von Unternehmen in die Katastrophe hinein \u2013 mitunter mussten Schwedens Superm\u00e4rkte, die Kaseya-Systeme nutzen, tagelang schlie\u00dfen. Perfide an der Sache: Das FBI war im Besitz des Generalschl\u00fcssels. Erst etwa drei Wochen sp\u00e4ter, n\u00e4mlich als die REvil-Hacker pl\u00f6tzlich von der Bildfl\u00e4che verschwanden, gab das FBI den Schl\u00fcssel an Kaseya. H\u00e4tte die US-Bundespolizei den Schl\u00fcssel direkt nach dem Angriff an die Opfer ausgeh\u00e4ndigt, h\u00e4tten Sch\u00e4den in Millionenh\u00f6he wohl vermieden werden k\u00f6nnen. Doch das FBI hielt den Schl\u00fcssel im Einverst\u00e4ndnis mit anderen US-Diensten zur\u00fcck \u2013 da man einen gro\u00dfen Schlag gegen die REvil-Hacker plante, wie die Washington Post seinerzeit berichtete.<\/p>\n

Die IT-Sicherheitsfirma Bitdefender reagierte anders: Das Unternehmen ver\u00f6ffentlichte im September<\/a> ein Entschl\u00fcsselungstool f\u00fcr alle Angriffe bis Juli. Neben Bitdefender haben auch andere Unternehmen Instrumente gegen Malware entwickelt und diese auf der Plattform No More Ransom<\/a> bereitgestellt.<\/p>\n

REvil-Verd\u00e4chtiger identifiziert<\/h3>\n

Das Bundeskriminalamt (BKA) und das LKA Baden-W\u00fcrttemberg hatten einen Verd\u00e4chtigen monatelang im Visier, der einer der Drahtziehenden hinter den REvil-Hackern sein k\u00f6nnte. Wie tagesschau.de berichtete<\/a>, kam das LKA Baden-W\u00fcrttemberg dem Verd\u00e4chtigen \u00fcber Bitcoin-Zahlungen auf die Spur. Nachdem das Stuttgarter Staatstheater f\u00fcnf Tage lang lahmgelegt war, gr\u00fcndete das LKA Baden-W\u00fcrttemberg eine Ermittlungsgruppe mit dem Namen \u201eKrabbe\u201c \u2013 angelehnt an den damaligen Hacker-Namen Gandcrab. Hinter Gandcrab und REvil stecken dieselben Kriminellen \u2013 davon waren die Ermittelnden \u00fcberzeugt.<\/p>\n

Wie die Nachrichtenagentur Reuters berichtete, h\u00e4tten das FBI, der US Secret Service und das US Cyber Command zusammen mit weiteren Beh\u00f6rden anderer L\u00e4nder einen Teil der REvil-Server gehackt, sodass diese nicht mehr f\u00fcr die REvil-Hacker nutzbar waren. Dem Bericht zufolge gelang es den Beh\u00f6rden, Websites vom Netz zu nehmen. Damit diese wieder nutzbar wurden, sollen die REvil-Hacker Backups eingespielt haben. Jedoch wurden diese vorher durch die Ermittelnden kompromittiert, sodass die REvil-Hacker unwissentlich auf einen Trick hereingefallen waren, den sie bei ihren Opfern selbst gerne nutzten.<\/p>\n

Im Oktober dieses Jahres k\u00fcndigte die Ransomware-Gang REvil<\/a> einmal mehr das Ende ihrer Aktivit\u00e4ten an. Die Hacker sollen die Kontrolle \u00fcber relevante Infrastrukturen verloren haben, au\u00dferdem sei es intern zu Streitereien gekommen. Erstmals hatten die REvil-Hacker nach dem Kaseya-Angriff angek\u00fcndigt, ihre Aktivit\u00e4ten einstellen zu wollen. Jedoch kehrte die Gruppe bereits im September zur\u00fcck.<\/p>\n

Ermittelnde nehmen REvil-Hacker fest<\/h3>\n

Im November 2021 gelang Ermittelnden dann ein gro\u00dfer Schlag: In Polen habe man einen Ukrainer festnehmen k\u00f6nnen<\/a>, der im Verdacht stand, hinter der Kaseya-Attacke zu stecken. Europol teilte kurz darauf in Den Haag mit, man habe zwei weitere Menschen in Rum\u00e4nien festnehmen k\u00f6nnen, die auch hinter dieser Attacke stecken.<\/p>\n

Tats\u00e4chlich war die Aktion, die die Ermittlungsbeh\u00f6rden aufgestellt hatten, riesig: Laut Europol waren 17 L\u00e4nder eingebunden, mitunter Deutschland, die USA, Frankreich, Polen, die Niederlande, Rum\u00e4nien sowie Kanada. Nach Angaben der europ\u00e4ischen Justizbeh\u00f6rde Eurojust war hierzulande die Stuttgarter Staatsanwaltschaft federf\u00fchrend. \u00dcber mehrere Monate seien in unterschiedlichen L\u00e4ndern f\u00fcnf Verd\u00e4chtige in Haft gekommen, wie Europol berichtete<\/a>. Die Bilanz, die Europol zieht: Rund 7.000 angegriffene Ziele, bei denen Millionensummen erbeutet wurden.<\/p>\n

Die USA hatten unter der F\u00fchrung von US-Pr\u00e4sident Joe Biden angek\u00fcndigt, h\u00e4rter gegen Cyberkriminelle vorgehen zu wollen. Da wundert es kaum, dass ein Kopfgeld festgesetzt wurde: Bis zu 10 Millionen US-Dollar m\u00f6chte das US-Au\u00dfenministerium zahlen, wenn die Anf\u00fchrenden der REvil-Hacker gefasst werden. Belohnt werden soll, wer Informationen zur Ortung oder Identifikation zum F\u00fchrungskreis der Gang geben kann. Konnten die REvil-Hacker anfangs also nahezu unbehelligt agieren, steigt der Fahndungsdruck nun immens.<\/p>\n

 <\/p>\n

REvil-Hacker verhaftet \u2013 wird jetzt alles gut?<\/h2>\n

Einige Mitglieder der REvil-Hacker konnten verhaftet, einige Millionen US-Dollar sichergestellt werden. Reicht das? \u2013 Die Geschichte lehrt, dass dem nicht so ist: Konnten Anfang des Jahres Ermittlungsbeh\u00f6rden freudig mitteilen, dass mit Emotet einer der gef\u00e4hrlichsten Trojaner, die je w\u00fcteten, zerschlagen wurde<\/a>, kam die Schadsoftware bereits Mitte November zur\u00fcck<\/a>. Ebenso wie bei Emotet ist auch bei den REvil-Hackern nicht gesagt, dass mit der Inhaftierung die Erpressert\u00e4tigkeiten aufh\u00f6ren. Vielleicht benennt man sich um, vielleicht macht man sich nicht mal diese M\u00fche.<\/p>\n

Die Gesch\u00e4ftsmodelle dahinter \u2013 sowohl \u201eeinfache\u201c Verschl\u00fcsselungstrojaner als auch Ransomware-as-a-Service \u2013 sind einfach zu lukrativ. F\u00fcr jeden verhafteten Erpresser kommen zwei, drei neue \u2013 jeder Kleinkriminelle kann dank Ransomware-as-a-Service am gro\u00dfen Rad drehen. Ermittlungserfolge wie die j\u00fcngsten Festnahmen der REvil-Hacker werden andere nicht abschrecken, denn diese Form der Kriminalit\u00e4t ist zu lukrativ.<\/p>\n

Letztlich bleibt nur eine L\u00f6sung: Verlassen Sie sich nicht auf weitere Ermittlungserfolge und rechnen Sie mit neuen Angriffen. Ransomware-Attacken geh\u00f6ren leider mittlerweile zum Alltag \u2013 und sie werden immer raffinierter. Deshalb: Anstatt nur zu reagieren und \u2013 im Falle der Ermittelnden \u2013 nach und nach Gang-Mitglieder zu verhaften, w\u00e4re es sinnvoller, sich darauf zu fokussieren, Ransomware-Attacken m\u00f6glichst zu verhindern oder rechtzeitig zu stoppen.<\/p>\n