Ransomware: Schlag gegen REvil-Gang führt zu Verhaftungen und Beschlagnahmung von 6 Millionen Dollar an Lösegeldern

Wie das US-Justizministerium heute mitteilte, endete eine Reihe von Razzien gegen REvil-Partner mit einer Verhaftung und der Beschlagnahmung von 6 Millionen Dollar, die von Ransomware-Opfern erpresst wurden. Zudem gingen zwei weitere Partner den rumänischen Behörden ins Netz, womit sich die Zahl der Festnahmen in Zusammenhang mit REvil auf sieben erhöht.

Der 22-jährige ukrainische Staatsangehörige Yaroslav Vasinskyi wurde angeklagt, Ransomware-Angriffe gegen mehrere Opfer durchgeführt zu haben, darunter auch den vielbeachteten Angriff auf zahlreiche US-Unternehmen im vergangenen Juli.

Die Behörden beschlagnahmten außerdem 6,1 Millionen US-Dollar an mutmaßlichen Lösegeldzahlungen an den 28-jährigen Russen Yevgeniy Polyanin, der ebenfalls beschuldigt wird, Angriffe mit REvil-Ransomware gegen zahlreiche Opfer durchgeführt zu haben.

„Durch den Einsatz der Sodinokibi/REvil-Ransomware hinterließen die Angeklagten mutmaßlich eine elektronische Nachricht in Form einer Textdatei auf den Computern der Opfer“, so das US-Justizministerium. „Die Nachrichten enthielten eine im Open-Source-Anonymisierungsnetzwerk Tor erreichbare Internetadresse sowie den Link zu einer öffentlich zugänglichen Website-Adresse, über die Opfer ihre Dateien wiederherstellen konnten. Beim Besuch beider Websites erhielten die Opfer eine Lösegeldforderung und eine Adresse für eine virtuelle Währung, mit der sie das Lösegeld bezahlen konnten. Bei Bezahlung des Lösegelds durch ein Opfer stellten die Beschuldigten den Entschlüsselungsschlüssel zur Verfügung, sodass die Opfer wieder auf ihre Dateien zugreifen konnten. Verweigerte ein Opfer die Lösegeldzahlung, veröffentlichten die Beschuldigten in der Regel die gestohlenen Daten der Opfer oder behaupteten, sie hätten die gestohlenen Daten an Dritte verkauft, und die Opfer konnten nicht mehr auf ihre Dateien zugreifen.“

Die bei Polyanin beschlagnahmten 6,1 Millionen Dollar stammen mutmaßlich aus Ransomware-Angriffen und Geldwäscheoperationen, die mit der Sodinokibi/REvil-Ransomware durchgeführt wurden.

Die beiden Bedrohungsakteure werden in getrennten Anklageschriften wegen Verschwörung zum Betrug und damit zusammenhängenden Handlungen im Zusammenhang mit Computern, Beschädigung geschützter Computer in mehreren Fällen sowie Verschwörung zur Geldwäsche angeklagt. Bei einer Verurteilung in allen Anklagepunkten drohen ihnen mehr als hundert Jahre Gefängnis.

Vasinskyi wurde in Polen in Gewahrsam genommen, wo er von den Behörden bis zu seiner bereits beantragten Auslieferung an die USA festgehalten wird. Zeitgleich mit dieser Verhaftung wurden in mehreren Ländern Befragungen und Durchsuchungen durchgeführt, bei denen weitere REvil-Mitglieder festgenommen wurden.

Rumänische Behörden haben zudem zwei weitere Partner der Ransomware-Gang REvil verhaftet, die für 5.000 Infektionen verantwortlich sein sollen. Seit Februar 2021 haben Strafverfolgungsbeamte drei weitere REvil-Partner sowie zwei GandCrab-Verdächtige verhaftet, womit sich die Gesamtzahl der Verhaftungen auf sieben erhöht hat.