Revil: Websites der Ransomware-Erpresser nicht erreichbar

Die Websites der Ransomware-Gruppe Revil sind seit dem 13. Juli 2021 nicht mehr erreichbar, ein Vertreter der Gruppe wurde offenbar in einem bekannten Hacking-Forum gebannt. Sowohl die Seite, über die Ransomware-Betroffene die verlangten Lösegelder zahlen sollen, als auch die Plattform, auf der Revil Leaks über erpresste Unternehmen veröffentlichte, seien "down".

Revil wurde zuletzt für den Ransomware-Befall verantwortlich gemacht, der über Software von Kaseya Hunderte Unternehmen befiel. Dabei kam es weltweit zu Störungen, unter anderem bei der schwedischen Supermarktkette Coop, deren Kassensysteme nicht mehr funktionierten. Revil soll zunächst ein Rekordlösegeld von 70 Millionen US-Dollar für einen Generalschlüssel gefordert haben.

US-Präsident Joe Biden wandte sich an Wladimir Putin und forderte den russischen Staatschef auf, etwas gegen die in Russland vermuteten Täter zu unternehmen. Falls Russland nichts unternehme, werde es Konsequenzen geben. Welche das sein könnten, ließ Biden offen.

Freiwilliger Rückzug oder staatlicher Zugriff?

Ob Revil nun aufgrund staatlicher Maßnahmen auf einer der beiden Seiten von der Bildfläche verschwand oder sich aus eigenem Willen zurückzog, ist derzeit noch unklar. Offensichtliche Hinweise darauf, dass die Seiten von einer Ermittlungsbehörde beschlagnahmt wurden, gibt es nicht. Ein Vertreter einer anderen Ransomware-Gruppe schrieb in einem Hacking-Forum, es kursierten unbestätigte Informationen, dass Revil eine Anordnung der Regierung bekommen hätte, seine Server-Infrastruktur zu löschen und zu verschwinden.

Dass Ransomware-Gruppen vermeintlich verschwinden oder abtauchen, ist nicht ungewöhnlich. Mutmaßlich ging Revil selbst aus der Gruppe hinter dem früheren Erpressungstrojaner Gandcrab hervor, die im Jahr 2019 offiziell ihren Rückzug verkündete.