Neue Erpressungstrojaner-Version legt Rückkehr von REvil nahe

Sicherheitsforscher warnen davor, dass die REvil- alias Sodinokibi-Gang wieder da ist. Derzeit verschlüsselt der neue Schädling aber noch keine Daten.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: aslysun/Shutterstock.com)

Von
  • Dennis Schirrmacher

Es sammeln sich Hinweise, dass der Windows-Verschlüsselungstrojaner REvil zeitnah wieder in Umlauf sein und Lösegeld erpressen könnte. Darauf deutet eine von Sicherheitsforschern entdeckte IT-Infrastruktur zum Verteilen des Trojaners und eine neue Version des Schädlings hin.

Im Oktober 2021 gaben Strafverfolgungsbehörden an, dass REvil-Netzwerk offline genommen zu haben. Im November folgten Razzien und erste Festnahmen. Seitdem ist es still um die Drahtzieher der Kampagne geworden.

Im April 2022 berichteten Sicherheitsforscher von einer Wiederbelebung der REvil-Website im Tor-Netzwerk. Nun stieß ein ein Forscher von Avast auf eine neue Version des Schädlings. Erste Analysen haben ergeben, dass die aktuelle Ausgabe auf dem originalen Quellcode der REvil-Macher basieren soll. Es gibt einige Hinweise, dass ein Hauptentwickler der Ransomware wieder aktiv sei.

Zum jetzigen Zeitpunkt verschlüsselt die neue Version aber noch keine Daten und sie scheint sich noch in der Entwicklung zu befinden. Die vom Schädling generierte Erpresserbotschaft soll wie früher anmuten. Außerdem soll die Website nahezu identisch aussehen und die Kriminellen bezeichnen sich dort abermals mit dem REvil-Alias Sodinokibi.

Nimmt man alle Hinweise zusammen, ist davon auszugehen, dass der Schädling bald wieder die Runde macht, Dateien verschlüsselt und Lösegeld einfordert. Die REvil-Gruppe ist seit 2019 aktiv und hat seitdem Firmen in Millionenhöhe erpresst.

In der Regel gelangt Ransomware über Betrüger-Mails auf Computer. Oft sind diese Mails richtig gut gemacht und knüpfen etwa an bestehende Projekte in Firmen an. So fallen Opfer immer wieder darauf rein, öffnen den Dateianhang in Form einer vermeintlichen Rechnung im Word-Format, aktivieren die Makros im Dokument und holen sich den Trojaner auf Computer. Man sollte demzufolge niemals ohne nachzudenken auf Links in Mails klicken und Dateianhänge öffnen.

Erpressungstrojaner sind nach wie vor äußerst beliebt bei Cyber-Kriminellen. Die US-Behörde zur Verfolgung von Finanzkriminalität gibt an, dass allein in den USA im ersten Halbjahr 2021 590 Millionen US-Dollar erpresst wurden.

Wenn ein Erpressungstrojaner bereits zugeschlagen hat und Daten verschlüsselt sind, kann man auf der Website ID-Ransomware prüfen, ob es bereits ein kostenloses Entschlüsselungstool gibt. Der Service erkennt das derzeit für über 1000 Ransomware-Varianten.

(des)