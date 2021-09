Drama im Hacker-Untergrund: Die berüchtigte Ransomware-Gang REvil, die unter anderem für den Angriff auf die US-Firma Kaseya verantwortlich zeichnen, wird von ihren Partnern beschuldigt, sie betrogen zu haben. Diskussionen in diversen russischsprachigen Foren zufolge reichte der Gang die 30-prozentige Kommission der Lösegeldzahlungen der Opfer nicht aus. REvil baute demzufolge eine Backdoor in ihre Infrastruktur ein, die es der Erpressergruppe erlaubte, Lösegeldverhandlungen ihrer Partner mit den Opfern der REvil-Malware (auch bekannt als Sodinokibi), abzubrechen und selbst weiterzuverhandeln.

Sicherheitsforscher beschreiben das Geschäftsmodell von Hackergruppen wie REvil und Darkside als Ransomware-as-a-Service. Die Hackergruppen vermieten die von ihnen entwickelte Malware und die dazugehörige Entschlüsselungs- und Bezahlinfrastruktur an andere Kriminelle, sogenannte Affiliates oder Partner. Im Fall von REvil bekommen die Hintermänner dafür 30 Prozent der Erlöse der Partner. In der Vergangenheit ist es allerdings immer wieder vorgekommen – etwa im Fall der Darkside-Gang – dass eine solche Gang Zahlungen abgreift oder ihre Partner auf anderen Wegen betrügt. Wie ein englisches Sprichwort sagt: There is no honour amongst thieves (Unter Dieben gibt es keine Ehre).

Das Hacker-Gericht tagt

Wie die vom Antiviren-Hersteller Kaspersky betriebene Nachrichten-Webseite ThreatPost berichtet, erheben ehemalige Partner von REvil im Zuge des Comebacks der Gruppe schwere Anschuldigungen gegen die Ransomware-Gang. Dazu haben sie ein sogenanntes "Hacker-Gericht" einberufen: Das ist eine Art streng reglementierter Foren-Thread in einem Untergrund-Forum, in dem Mitglieder Anschuldigungen gegen andere Foren-Mitglieder erheben können.

Ob diese Diskussionen wirklich dazu führen, dass betrügerische Mitglieder solcher Untergrund-Communities bestraft werden oder angeblich geschuldetes Geld zurückzahlen, ist fragwürdig. Aber der Prozess vor dem "Hacker-Gericht" wird ohne Zweifel dem Ruf der REvil-Gang schaden, was deren Comeback beeinträchtigen könnte. Kriminelle haben zwar keine Ehre, aber der Ruf als Geschäftsmann ist auch in diesem Umfeld alles.

Backdoor und Double Chat

Den Anschuldigungen zu Folge haben die REvil-Drahtzieher eine Backdoor in ihre Malware-Infrastruktur eingebaut, die es ihnen erlaubt, Partnern die Kontrolle über die Malware, beziehungsweise die Entschlüsselungs-Funktionen der selbigen, zu entziehen. Außerdem haben sie wohl die Möglichkeit, in Chats der Kriminellen mit ihren Opfern einzugreifen (was in diesen Kreisen als Double Chat bezeichnet wird).

Die REvil-Drahtzieher hätten so auf geradezu perfide Weise in Lösegeld-Verhandlungen eingegriffen, sagen ihre Partner. Während die Partner mit den Opfern über die REvil-Plattform chatteten und über das Lösegeld für deren verschlüsselte Dateien verhandelten, hätten REvil-Gangmitglieder sich in den Chat eingeschleust und sozusagen als Man-in-the-Middle Nachrichten an beide Parteien verschickt. Während sie ihren Partnern im Namen der Opfer suggerierten, man wolle kein Lösegeld zahlen und die Verhandlungen seien beendet, übernahmen sie selbst die Verhandlungen mit den Opfern und strichen am Ende das gesamte Lösegeld ein – statt den ihnen eigentlich zustehenden 30 Prozent.

Da die Partner solcher Ransomware-Gangs einen großen Teil des Risikos tragen, weil sie es sind, die den Schadcode in den Netzwerken der Opfer platzieren müssen, sind sie verständlicherweise sauer, wenn man sie um ihren – ihrer Ansicht nach – hart erarbeiteten Lohn bringt. Sicherheitsforscher und die Opfer der Erpresser-Gangs sind aber ob des Dramas im Hacker-Untergrund wohl eher amüsiert. Mit etwas Glück nimmt der Ruf der REvil-Gang so starken Schaden, dass sie früher oder später von der Bildfläche verschwindet. Trotz aller Schadenfreude über das Missgeschick der Kriminellen lehrt uns die Erfahrung der Vergangenheit allerdings, dass in diesem Fall wahrscheinlich einfach eine neue Gang den Platz der geschassten Gauner einnehmen wird.

