Connect with us

Deutsch

Mehrere Regierungen, die an der koordinierten Beseitigung der Ransomware-Gruppe REvil beteiligt waren: Reuters

Published

on

Cybersicherheitsexperten haben Reuters mitgeteilt, dass Strafverfolgungsbehörden aus mehreren Ländern an der Störung der Ransomware-Gang REvil beteiligt waren, die am Sonntag zum zweiten Mal dunkel wurde.

Gerüchte und Fragen zum jüngsten Verschwinden der Gruppe dominierten diese Woche nach dem Sicherheitsexperten von Recorded Future, Dmitry Smilyanets mehrere Nachrichten auf Twitter geteilt von ‘0_neday’ – einem bekannten REvil-Betreiber – diskutiert, was im Cyberkriminellen-Forum XSS passiert ist. Er behauptete, jemand habe die Kontrolle über das Tor-Zahlungsportal und die Datenleck-Website der Gruppe übernommen.

In den Nachrichten erklärt 0_neday, dass er und “Unknown” – ein führender Vertreter der Gruppe – die einzigen beiden Mitglieder der Bande waren, die die Domain-Schlüssel von REvil hatten. “Unbekannt” verschwand im Juli und ließ die anderen Mitglieder der Gruppe davon aus, dass er gestorben war.

Die Gruppe nahm ihren Betrieb im September wieder auf, aber an diesem Wochenende schrieb 0_neday, dass auf die REvil-Domain mit den Schlüsseln “Unknown” zugegriffen worden sei.

In einer anderen Nachricht sagte 0_neday: “Der Server wurde kompromittiert und sie haben nach mir gesucht. Um genau zu sein, sie haben den Pfad zu meinem versteckten Dienst in der torrc-Datei gelöscht und ihren eigenen erstellt, damit ich dorthin gehe. Ich habe nachgesehen andere – das war es nicht. Viel Glück, alle, ich bin weg.”

Nun hat Reuters bestätigt, dass Strafverfolgungsbehörden aus den USA und anderen Ländern zusammen mit einer Reihe von Cybersicherheitsexperten hinter den am Sonntag beschriebenen Aktionen 0_neday stecken.

Tom Kellerman, Leiter der Cybersicherheitsstrategie von VMWare, und andere Quellen teilten Reuters mit, dass die Regierungen die Infrastruktur von REvil gehackt und offline erzwungen haben.

Das FBI und das Weiße Haus reagierten nicht auf Anfragen nach Kommentaren.

Jake Williams, CTO von BreachQuest, sagte gegenüber ZDNet, dass seit mindestens dem 17. Oktober in geschlossenen CTI-Gruppen über die Kompromittierung von REvil gesprochen wird.

„Spätestens am 17. wurde bekannt, dass die Mitglieder der Kerngruppe hinter REvil mit ziemlicher Sicherheit kompromittiert wurden. Indem er die versteckten Dienste von Tor aufstellte, demonstrierte jemand, dass er über die dafür erforderlichen privaten Schlüssel verfügte. Dies war praktisch das Ende von REvil hatte bereits Probleme, Partner zu gewinnen, nachdem seine Infrastruktur im Juli nach dem Angriff von Kaseya offline gegangen war”, sagte Williams.

„Um Affiliates anzuziehen, hatte REvil bis zu 90 % Gewinnanteile angeboten, fand aber immer noch nur wenige Abnehmer. Nachdem der versteckte Dienst von Tor aktiviert wurde und den Besitz der privaten Schlüssel demonstrierte, war es offensichtlich, dass die Gruppe verletzt wurde und sie nicht in der Lage wäre, neue Partner für Operationen zu gewinnen. Eine große offene Frage ist für mich, ob die Wiederaktivierung der versteckten Dienste von Tor ein Fehler der Strafverfolgungsbehörden war oder eine absichtliche Handlung war, um eine Nachricht zu senden. Es gibt sicherlich Argumente für beide Fälle .”

Das FBI war in den letzten Wochen mit Gegenreaktionen konfrontiert, weil es kürzlich bekannt gab, dass es ihm gelungen ist, einen universellen Entschlüsselungsschlüssel für die Hunderte von Opfern zu erhalten, die von dem Ransomware-Angriff auf Kaseya betroffen waren.

Aber FBI-Beamte sagten dem Kongress, dass sie die Schlüssel für die Opfer wochenlang nicht zur Verfügung gestellt hätten, weil sie länderübergreifende Bemühungen planten, die Infrastruktur von REvil zu zerstören. REvil schloss schließlich den Laden, bevor die Operation durchgeführt werden konnte, und das FBI verteilte schließlich die Schlüssel an die Opfer und half einem Unternehmen bei der Entwicklung eines universellen Entschlüsselers.

Reuters berichtete, dass die Gruppe, als die Gruppe im September wieder auftauchte, tatsächlich die Server neu gestartet hatte, die von Strafverfolgungsbehörden übernommen worden waren. Dies führte laut Reuters zu den jüngsten Strafverfolgungsmaßnahmen, die hinzufügten, dass die Operation noch andauert.

Williams merkte an, dass es wahrscheinlich scheint, dass es sich um zumindest einige Verhaftungen handelte, was auf die ursprünglichen Nachrichten von 0_neday zurückführte.

„Der Start des versteckten Dienstes zeigt an, dass jemand anderes die privaten Schlüssel für seine versteckten Dienste besitzt. Während die Schlüssel möglicherweise nur durch Zurückhacken erworben worden sein könnten, ist dies angesichts des Verschwindens von Unknown auch schwer vorstellbar. Die offensichtliche Schlussfolgerung ist, dass Es ist wahrscheinlich, dass Unbekannt (oder ein enger Mitverschwörer) festgenommen wurde, obwohl die Festnahme möglicherweise durch Hacking-Back-Operationen ermöglicht wurde”, sagte Williams.

Für diejenigen, die nach der Rückkehr der Gruppe von Ransomware betroffen waren, sagte Williams, es sei unwahrscheinlich, dass die Regierung Entschlüsselungsschlüssel habe oder dass die verbleibenden Bandenmitglieder sie freigeben würden.

„Nach den Störungen im Juli wird davon ausgegangen, dass REvil die von jedem Partner verwendeten Kampagnenschlüssel zurücksetzte Die US-Regierung hat einen Generalschlüssel für REvil”, erklärte Williams.

„Nach der Gegenreaktion über die Nichtfreigabe des beim Kaseya-Angriff verwendeten Kampagnenschlüssels ist es kaum zu glauben, dass die Regierung mehr negative Publizität riskieren würde. Einzelne Partner können ihre Kampagnenschlüssel freigeben, aber es scheint derzeit zweifelhaft, dass die Kerngruppe REvil dies tun wird. “

Continue Reading

Copyright © 2021 Meta Mag Inc.