Hacker/Hackergruppen: REvil

Die verdrehte Welt der Medien, IT News, Hacker-Meldungen,Stream Portale.
Benutzeravatar
Deckard666
Beiträge: 16659
Registriert: 31.08.2019 02:32
Hat sich bedankt: 3 Mal
Danksagung erhalten: 19 Mal

#1 Hacker/Hackergruppen: REvil

 ! Nachricht von: Deckard666
REvil, auch bekannt unter dem Namen Sodinokibi, ist eine Gruppe von Black Hat Hackern, die sich auf die Entwicklung von Ransomware spezialisiert hat. Sie bieten „Ransomware as a Service“ an. Zur Vermarktung verwendet die Gruppe eine Art Affiliate-Programm, bei dem Dritte ihre Malwareprogramme für kriminelle Zwecke benutzen dürfen. Von den erpressten Geldern erhält REvil dann einen Anteil.

Die Gruppe schrieb unter anderem auch einen Trojaner namens Sodinokibi, dessen Version Sodinokibi.N für eine Ransomware-Attacke im Juli 2021 benutzt wurde. Des Weiteren entwickelte sie die Erpressungssoftware GandCrab weiter.

Weitere Informationen: Wikipedia - REvil

Laut einer Sicherheitsfirma befällt Ransomware Hunderte von US-Unternehmen (2021-07-03)

Laut einem Cybersicherheitsforscher, dessen Unternehmen auf den Vorfall reagiert hat, hat ein Ransomware-Angriff am Freitag die Netzwerke von mindestens 200 US-Unternehmen lahmgelegt.

Die REvil-Gang, ein großes russischsprachiges Ransomware-Syndikat, scheint hinter dem Angriff zu stecken, sagte John Hammond von der Sicherheitsfirma Huntress Labs. Er sagte, die Kriminellen hätten einen Softwareanbieter namens Kaseya ins Visier genommen und sein Netzwerkverwaltungspaket als Kanal verwendet, um die Ransomware über Cloud-Dienstleister zu verbreiten. Andere Forscher stimmten Hammonds Einschätzung zu.

„Kaseya wickelt große Unternehmen bis hin zu kleinen Unternehmen weltweit ab, sodass (dies) letztendlich das Potenzial hat, sich auf Unternehmen jeder Größe oder Größenordnung auszudehnen“, sagte Hammond in einer Direktnachricht auf Twitter. „Dies ist ein kolossaler und verheerender Angriff auf die Lieferkette.“

Solche Cyberangriffe infiltrieren normalerweise weit verbreitete Software und verbreiten Malware, während sie automatisch aktualisiert wird.

Es war nicht sofort klar, wie viele Kaseya-Kunden betroffen sein könnten oder wer sie sein könnten. Kaseya forderte Kunden in einer Erklärung auf seiner Website auf, Server, auf denen die betroffene Software ausgeführt wird, sofort herunterzufahren. Der Angriff sei auf eine „kleine Anzahl“ seiner Kunden beschränkt.

Brett Callow, ein Ransomware-Experte bei der Cybersicherheitsfirma Emsisoft, sagte, er wisse von keinem früheren Ransomware-Lieferkettenangriff dieser Größenordnung. Es gab andere, aber sie waren ziemlich gering, sagte er.

Weiterlesen ...

Artikel im englischen Original
A G E N D A 2 1


"Some men aren't looking for anything logical, like money. They can't be bought, bullied, reasoned, or negotiated with. Some men just want to watch the world burn."
Alfred Pennyworth, The Dark Knight (2008)
Benutzeravatar
Gwynfor
Beiträge: 312
Registriert: 03.09.2019 12:41
Wohnort: Wuppertal
Hat sich bedankt: 17 Mal
Danksagung erhalten: 5 Mal
Kontaktdaten:

#2 Supermärkte

16:08 Uhr
800 Supermarkt-Filialen in Schweden wegen Hacker-Angriff vorerst dicht

In Schweden dürften einige Kunden der Supermarktkette Coop vor verschlossenen Türen stehen: Nach einem Cyberangriff muss das Unternehmen eigenen Angaben zufolge rund 800 Filialen vorübergehend schließen. "Einer unserer Subunternehmer war Ziel eines digitalen Angriffs, und deshalb funktionieren unsere Kassen nicht mehr", erklärte Coop Schweden.

Weitere Details zum Hacker-Angriff gab die Supermarktkette nicht bekannt. Die schwedische Tochtergesellschaft des Softwarekonzerns Visma teilte jedoch mit, das Problem stehe im Zusammenhang mit einem größeren Cyberangriff auf das amerikanische IT-Unternehmen Kaseya. Auf die Netzwerk-Software war den Angaben zufolge eine Ransomware-Cyberattacke verübt worden. Bei Angriffen mit Ransomware sperren oder verschlüsseln Hacker Computersysteme, um von den Nutzern Geld für die Freigabe ihrer Daten zu erpressen. Zuletzt war es mehrfach zu Cyberangriffen auf US-Unternehmen gekommen.
NTV - Der Tag

Mehr hier


Gruss Gwyn
Bild
Benutzeravatar
Deckard666
Beiträge: 16659
Registriert: 31.08.2019 02:32
Hat sich bedankt: 3 Mal
Danksagung erhalten: 19 Mal

#3 Hacker legen Kassensysteme lahm: Cyberangriffe auf Supermarktkette Coop und IT-Dienstleister

Hacker legen Kassensysteme lahm: Cyberangriffe auf Supermarktkette Coop und IT-Dienstleister (2021-07-03)

Die Supermarktkette Coop und der IT-Dienstleister Kaseya wurden Opfer von Hackerangriffen. Bei Coop streikten die Kassen, bei Kaseya hatten es die Angreifer offenbar auf weitere Unternehmen abgesehen.

Bild

Die Supermarktkette Coop ist in Schweden Opfer eines Cyberangriffs geworden. Die Kette empfahl ihren Filialen laut Berichten des schwedischen Senders SVT, die Geschäfte am Samstag im ganzen Land nicht zu öffnen.

Ersten Erkenntnissen zufolge geht der Supermarkt nicht davon aus, dass er selbst das Ziel des Angriffs war. Möglicherweise könnten die Vorfälle in Zusammenhang mit einer größeren, internationalen Ransomware-Attacke stehen, schrieb die schwedische Nachrichtenagentur TT. Bei Ransomware-Attacken werden Daten auf Computern verschlüsselt. Die Angreifer verlangen meist Lösegeld für die Freigabe.

IT-Dienstleister von Ransomware-Angriff betroffen

Am Freitagabend habe es einen Angriff auf einen Dienstleister von Coop gegeben, der sowohl die normalen Kassensysteme als auch Selbstbedienungskassen der Supermärkte betraf, berichtete SVT. Man habe die ganze Nacht an den Problemen gearbeitet, sie jedoch noch nicht lösen können, sagte eine Sprecherin dem Sender.

Weiterlesen ...
A G E N D A 2 1


"Some men aren't looking for anything logical, like money. They can't be bought, bullied, reasoned, or negotiated with. Some men just want to watch the world burn."
Alfred Pennyworth, The Dark Knight (2008)
Benutzeravatar
Deckard666
Beiträge: 16659
Registriert: 31.08.2019 02:32
Hat sich bedankt: 3 Mal
Danksagung erhalten: 19 Mal

#4 Ransomware-Attacke: Erpresser-Gruppe »REvil« fordert Rekord-Lösegeld

Ransomware-Attacke: Erpresser-Gruppe »REvil« fordert Rekord-Lösegeld (2021-07-05)

Für die Entschlüsselung der Daten alle ihrer über den Dienstleister Kaseya gehackten Opfer fordern Erpresser 70 Millionen Dollar. Nun schaltet sich das Weiße Haus ein.

Nachdem eine Ransomware-Attacke die IT-Systeme vieler Firmen lahmgelegt hat, haben sich die mutmaßlichen Täter zu Wort gemeldet. Die Gruppe namens »REvil« fordert 70 Millionen Dollar für eine Entschlüsselungs-Software, mit denen alle Opfer wieder auf ihre Daten zugreifen können sollen. Experten gehen davon aus, dass die in einem Blog im Darknet veröffentlichte Forderung authentisch ist.

Bei einem der größten erpresserischen Hackerangriffe überhaupt waren seit Freitagnachmittag weltweit viele Firmen lahmgelegt worden. Es handelt sich offenbar um eine sogenannte »Supply Chain Attack«. Das bedeutet: Statt einzelne Unternehmen haben die Angreifer den amerikanischen Zulieferer Dienstleister Kaseya ins Visier genommen und dessen Software attackiert. Dadurch konnten sie ihre Erpresser-Software auf den Rechnern vieler Kaseya-Kunden installieren, bevor sie anfingen, die Systeme lahmzulegen.

Das genaue Ausmaß der Attacke ist noch unklar. Während Kaseya am Wochenende weniger als 60 betroffene Unternehmen bestätigte, reichen die Schätzungen bis hin zu 1000 Opfern. Der US-Sicherheitsdienstleister Huntress sprach von rund 200 betroffenen US-Unternehmen. Bisher wurden Infektionen in zwölf verschiedenen Ländern bekannt. Zu den ersten Opfern zählte die schwedische Supermarktkette Coop, die wegen des Ausfalls am Samstag eine Reihe von Filialen schließen musste. Auch Deutschland zählt zu den am meisten betroffenen Zielen der Angreifer, berichtet der IT-Sicherheitsdienstleister Sophos.

Weiterlesen ...
A G E N D A 2 1


"Some men aren't looking for anything logical, like money. They can't be bought, bullied, reasoned, or negotiated with. Some men just want to watch the world burn."
Alfred Pennyworth, The Dark Knight (2008)
Benutzeravatar
Deckard666
Beiträge: 16659
Registriert: 31.08.2019 02:32
Hat sich bedankt: 3 Mal
Danksagung erhalten: 19 Mal

#5 Ransomware-Angriff: »REvil« erpresst bis zu 1500 Firmen

Ransomware-Angriff: »REvil« erpresst bis zu 1500 Firmen (2021-07-06)

Der IT-Dienstleister Kaseya hat eingeräumt, dass Unternehmen in 17 Ländern Opfer der Ransomware-Attacke sind. Die Zahl der Opfer in Deutschland ist unklar, die IT-Sicherheitsbehörde schließt weitere Fälle nicht aus.

Bild

Nach einem der größten bekannten Ransomware-Angriffe wird das Ausmaß des Schadens allmählich klar. Weltweit sind offenbar zwischen 800 und 1500 Unternehmen von dem Vorfall betroffen. Dies bestätigte der Vorstandsvorsitzende der US-IT-Dienstleisters Kaseya, Fred Voccola, in einem Interview mit der Nachrichtenagentur Reuters. Kaseya wurde gehackt und so zum Ausgangspunkt der Attacke. Bisher haben sich Betroffene in insgesamt 17 Ländern gemeldet. Die Opfer müssen sich nun die Frage stellen: Bezahlen sie die Erpresser oder versuchen sie, die Schadsoftware auf andere Weise loszuwerden?

Voccola erklärte, es sei schwer, die genauen Auswirkungen des Angriffs vom vergangenen Freitag abzuschätzen, da die Betroffenen hauptsächlich Kunden von Kaseya seien. Es handelte sich um eine sogenannte Supply-Chain-Attacke, bei der die Kriminellen einen Softwarezulieferer infiltrierten, aber erst zuschlugen, als die Programme auf den Rechnern der Kunden installiert war – von denen einige wiederum selbst IT-Dienstleister für andere Firmen sind. Kaseya sei im Moment dabei, die Schwachstelle zu beheben.

Weiterlesen ...
A G E N D A 2 1


"Some men aren't looking for anything logical, like money. They can't be bought, bullied, reasoned, or negotiated with. Some men just want to watch the world burn."
Alfred Pennyworth, The Dark Knight (2008)
Benutzeravatar
Deckard666
Beiträge: 16659
Registriert: 31.08.2019 02:32
Hat sich bedankt: 3 Mal
Danksagung erhalten: 19 Mal

#6 Kaseya VSA: Wie die Lieferketten-Angriffe abliefen und was sie für uns bedeuten

Kaseya VSA: Wie die Lieferketten-Angriffe abliefen und was sie für uns bedeuten (2021-07-06)

Auch wer nicht davon betroffen ist, sollte sich klarmachen, was da gerade geschieht. Denn Angriffe wie der aktuelle REvil-Coup werden die IT-Welt verändern.

Bild

Der Angriff über Kaseyas Software-Management stellt eine neue Qualität der Ransomware-Angriffe dar. Denn damit erreichte die REvil-Gang nicht nur über 1000 Firmen auf einen Schlag, sie traf auch Firmen, die eigentlich gar keinen Fehler gemacht hatten. Anders als beim Angriff über Phishing, RDP, verwundbare VPN-Dienste oder andere Sicherheitslücken hatten diese Opfer keine offensichtlichen Schwachstellen, die die Angreifer ausnutzen konnten. Stattdessen erfolgte der Angriff über ganz reguläre Prozesse, wie sie jede IT aufweist. Das macht solche Supply-Chain- oder Lieferkettenangriffe besonders heimtückisch.

Die Rolle von Kaseya VSA

Kaseya VSA ist eine Plattform für das Management von Software. Zu deren Aufgaben gehört unter anderem die Installation von Software und Updates. Genutzt wird VSA von Management Service Providern (MSPs), die damit die IT ihrer Kunden administrieren. Sie setzen dazu wahlweise eine eigene VSA-Installation ein (On Premise) oder ein von Kaseya gehostetes Cloud-Angebot als Software-as-a-Service (SaaS).

Weiterlesen ...
A G E N D A 2 1


"Some men aren't looking for anything logical, like money. They can't be bought, bullied, reasoned, or negotiated with. Some men just want to watch the world burn."
Alfred Pennyworth, The Dark Knight (2008)
Benutzeravatar
Deckard666
Beiträge: 16659
Registriert: 31.08.2019 02:32
Hat sich bedankt: 3 Mal
Danksagung erhalten: 19 Mal

#7 Ransomware-Gruppe ist plötzlich offline: Das REvil-Rätsel

Ransomware-Gruppe ist plötzlich offline: Das REvil-Rätsel (2021-07-14)

Seit Dienstag sind die Websites der Erpressergruppe REvil nicht mehr erreichbar. Ist es das Werk von US-Behörden oder der russischen Regierung? Machen die Kriminellen nur Urlaub? Alle diese Theorien haben Schwächen.

Noch vor wenigen Tagen galt REvil als moderne Plage. Hunderte Unternehmen in aller Welt waren der Ransomware von REvil zum Opfer gefallen: Supermärkte in Schweden mussten schließen, in Deutschland hatte es mindestens drei IT-Dienstleister und deren Kunden erwischt, in Neuseeland mehrere Schulen und Kindergärten. Stolze 70 Millionen Dollar verlangte REvil zunächst für einen Generalschlüssel, der allen betroffenen den Zugang zu ihren verschlüsselten Daten gewähren sollte. Und das Ganze kurz nachdem REvil elf Millionen Dollar in Bitcoin vom Fleischfabrikanten JBS erpresst hatte.

Jetzt aber herrscht Funkstille. REvil ist offline. Seit Dienstag ist keine der Seiten, die REvil zugerechnet werden, mehr erreichbar: weder das »Happy Blog« im Darknet, wo REvil unter anderem Bekennerschreiben veröffentlicht, noch die Seiten, auf denen die Opfer mit REvil verhandeln. Wer REvil Lösegeld zahlen will, um die eigenen Rechner zu entschlüsseln, steht derzeit vor verschlossenen Türen. In Foren, in denen sich REvil ab und zu äußert, gibt es auch kein Lebenszeichen der Gruppe mehr. Die Frage ist: Wer hat das veranlasst?

Bisher gibt es eine Reihe von Erklärungsversuchen, allesamt unbelegt: Entweder haben das US Cyber Command oder das FBI REvil ausgeknipst. Oder es waren russische Behörden – REvils Sitz wird in Russland vermutet. Oder die Gruppe war es selbst, absichtlich oder nicht.

Urlaub mit 123 Millionen Euro in der Kasse?

Letzteres vermutet zum Beispiel Dmitri Alperovitch, Mitgründer der IT-Sicherheitsfirma CrowdStrike und heutiger Politikberater. »Am wahrscheinlichsten ist für mich folgendes: Es ist Sommer in Russland, die Schwarzmeerküste ist sehr reizvoll, und diese Typen wollen sich etwas ausruhen und ein paar ihrer Millionen ausgeben«, sagte er im Podcast »Risky.biz«. Davon haben sie wohl genug: 123 Millionen Dollar sollen sie allein 2020 eingenommen haben.

Weiterlesen ...
A G E N D A 2 1


"Some men aren't looking for anything logical, like money. They can't be bought, bullied, reasoned, or negotiated with. Some men just want to watch the world burn."
Alfred Pennyworth, The Dark Knight (2008)
Benutzeravatar
Deckard666
Beiträge: 16659
Registriert: 31.08.2019 02:32
Hat sich bedankt: 3 Mal
Danksagung erhalten: 19 Mal

#8 Entschlüsselungsprogramm für Hacking-Opfer: Von 70 Millionen Dollar auf null

Entschlüsselungsprogramm für Hacking-Opfer: Von 70 Millionen Dollar auf null (2021-07-27)

Nach einer spektakulären Attacke verteilt der IT-Dienstleister Kaseya einen Entsperrcode an Kunden, deren Systeme von den Angreifern verschlüsselt worden sind. Geld habe man dafür aber nicht gezahlt, heißt es nun.

Der jüngst von einem Hackerangriff betroffene IT-Dienstleister Kaseya hat Spekulationen zurückgewiesen, er habe Lösegeld für den Generalschlüssel gezahlt, um von einer Erpressersoftware verschlüsselte Computer freizuschalten. Weder direkt noch über andere sei Geld an die Angreifer gegangen, betonte Kaseya in einer Mitteilung, die in der Nacht zum Dienstag veröffentlicht wurde.

Die Hackergruppe REvil hatte Kaseya gehackt und ein Update der Fernwartungssoftware des Anbieters manipuliert. Etwa 60 Firmenkunden hatten dieses Update und damit den Erpressungstrojaner von REvil überspielt. Weil die meisten von ihnen selbst IT-Dienstleister sind, wurden auch deren Kunden zu REvil-Opfern. Die Auswirkungen der Attacke reichten dadurch bis nach Schweden, wo die Supermarktkette Coop Hunderte Läden wegen nicht funktionierender Kassensysteme nicht öffnen konnte.

Letztlich waren bis zu 1500 Unternehmen in aller Welt betroffen. Allein in Deutschland hatte es mindestens drei Dienstleister und in der Folge Hunderte Firmen erwischt. Diejenigen unter ihnen, die ihre Dateien und Systeme bisher nicht aus Sicherungskopien oder auf anderem Wege wiederherstellen konnten, können mit dem von Kaseya bereitgestellten Universalschlüssel, ihre Systeme wieder zum Laufen zu bringen oder immer noch verschlüsselte Datenbestände freischalten. Nach Angaben der IT-Sicherheitsfirma Emsisoft funktioniert diese Methode »zuverlässig«.

Weiterlesen ...
A G E N D A 2 1


"Some men aren't looking for anything logical, like money. They can't be bought, bullied, reasoned, or negotiated with. Some men just want to watch the world burn."
Alfred Pennyworth, The Dark Knight (2008)
Benutzeravatar
Deckard666
Beiträge: 16659
Registriert: 31.08.2019 02:32
Hat sich bedankt: 3 Mal
Danksagung erhalten: 19 Mal

#9 Ransomware: Erpressungs-Website der "REvil"-Gang plötzlich wieder online

Ransomware: Erpressungs-Website der "REvil"-Gang plötzlich wieder online (2021-09-09)

Die Gang, deren Kaseya-Lieferkettenangriff Schlagzeilen machte, war Mitte Juli von der Bildfläche verschwunden – nun ist ihre Tor-Onion-Leak-Site wieder aktiv.

ie (In-)Aktivität der bekannten und überaus erfolgreichen Cybercrime-Gang "REvil" um die gleichnamige Ransomware verursacht Beobachtern derzeit Kopfzerbrechen. Nachdem sowohl die Tor Onion-Site "Happy Blog" mit geleakten Daten der REvil-Opfer als auch die zugehörige Bezahlinfrastruktur der Erpresser ab Mitte Juli plötzlich nicht mehr erreichbar waren, ist der Blog nun seit mindestens vergangenem Dienstag wieder online.

Das heise Security-Team konnte die Richtigkeit entsprechender Medienberichte im Rahmen von Zugriffen am Mittwoch und Donnerstag verifizieren. Aktuelle Inhalte in Gestalt neuer Botschaften oder Leaks wurden dem Blog augenscheinlich nicht hinzugefügt: Der neueste Eintrag mit sensiblen Daten stammt offenbar von Anfang Juli und wurde vor dem Abtauchen der REvil-Gang veröffentlicht. Die separate Bezahl- und Entschlüsselungs-Website ist indes weiterhin offline.

Hintergründe des Abtauchens unklar...

Der Rückzug der REvil-Gruppe war nach dem Bekanntwerden des Lieferkettenangriffs auf Kunden der US-Firma Kaseya von Anfang Juli erfolgt. Um auf einen Schlag Hunderte von Kaseya-Kunden anzugreifen, hatte die in Russland verortete Gang eine Schwachstelle in Software des IT-Dienstleisters ausgenutzt, um bei dessen Kunden Daten zu verschlüsseln. Für ein "universelles Entschlüsselungs-Tool" zur Rettung der Daten hatten sie anschließend 70 Millionen US-Dollar in Bitcoin verlangt; später hatten sie ihre Forderung auf 50 Millionen US-Dollar reduziert.

Weiterlesen ...
A G E N D A 2 1


"Some men aren't looking for anything logical, like money. They can't be bought, bullied, reasoned, or negotiated with. Some men just want to watch the world burn."
Alfred Pennyworth, The Dark Knight (2008)
Benutzeravatar
Deckard666
Beiträge: 16659
Registriert: 31.08.2019 02:32
Hat sich bedankt: 3 Mal
Danksagung erhalten: 19 Mal

#10 REvil: Ransomware-Gang in neuer Aufstellung wieder aktiv

REvil: Ransomware-Gang in neuer Aufstellung wieder aktiv (2021-09-13)

Neue Forenbeiträge und "Happy Blog"-Inhalte belegen, dass die Erpresserbande um REvil zurück ist – und dass ihre Auszeit wohl nicht freiwillig war.

Mitte Juli dieses Jahres waren die Kriminellen rund um die Ransomware "REvil", auch bekannt als Sodinokibi, von der Bildfläche verschwunden. Als ihr sogenannter "Happy Blog" mit geleakten Daten von Erpressungsopfern vergangene Woche überraschend wieder online ging, hatte dies unter anderem Spekulationen um einen bewussten Schachzug involvierter Strafverfolgungsbehörden ausgelöst.

Mittlerweile hat sich herauskristallisiert, dass wohl tatsächlich ein Teil der REvil-Serverinfrastruktur von unbekannter Seite kompromittiert wurde – und dass ein Mitglied der Ransomware-Gang unter ungeklärten Umständen verschwunden ist. Die restliche Bande hält dies allerdings nicht davon ab, ihren Beutezug mit neuen Schadsoftware-Varianten und Daten-Leaks im "Happy Blog" wiederaufzunehmen.

Umstände des Rückzugs im Juli

Statt dem Mitglied "Unknown", das sonst als Sprachrohr der REvil-Gang in Foren und gegenüber der Presse auftrat, verfasste Ende letzter Woche ein anderes Mitglied unter dem schlichten Pseudonym REvil neue Beiträge in einem Untergrundforum. Screenshots der Unterhaltung wurden unter anderem von Bleeping Computer veröffentlicht. In russischer Sprache erläutert der Autor darin, dass "Unknown" (vermutlich im Juli dieses Jahres, wann genau wird nicht erwähnt) unter ungeklärten Umständen verschwunden sei.

Die Entwickler des REvil-Schadcodes hätten nach längerem vergeblichem Warten schließlich an eine Verhaftung Unknowns geglaubt. Überdies habe ihr Hoster sie darüber informiert, dass die Clearnet-Server der Gang, auf denen unter anderem auch die REvil-Bezahlinfrastruktur lief, "kompromittiert" worden sei – von wem, geht aus dem Beitrag nicht hervor. Der Hoster habe die Inhalte jedenfalls umgehend gelöscht. In der Konsequenz hätten die Entwickler des REvil-Schadcodes im Anschluss an ein Backup auch die übrige Darknet-Serverinfrastruktur vorläufig abgeschaltet.

Weiterlesen ...
A G E N D A 2 1


"Some men aren't looking for anything logical, like money. They can't be bought, bullied, reasoned, or negotiated with. Some men just want to watch the world burn."
Alfred Pennyworth, The Dark Knight (2008)
Antworten

Zurück zu „IT und Medien“