REvil
Überblick
REvil, auch unter dem Namen Sodinokibi geführt, ist eine Ransomware-Gruppe, die nach dem Modell Ransomware-as-a-Service (RaaS) arbeitet und ihre Schadsoftware Partnern zur Durchführung der Angriffe überlässt. Nach der Kompromittierung ihrer Opfer setzt die Gruppe auf doppelte Erpressung: Sie droht damit, zuvor entwendete sensible Daten auf ihrem im Darknet betriebenen Leak-Blog mit dem Namen „Happy Blog“ zu veröffentlichen, sofern kein Lösegeld gezahlt wird. Der von REvil eingesetzte Schadcode weist deutliche Ähnlichkeiten mit dem Code der Gruppe DarkSide auf, einem anderen Bedrohungsakteur. REvil ging unter anderem gezielt gegen Zulieferer großer Technologiekonzerne vor und gab an, dabei vertrauliche technische Konstruktionsunterlagen zu noch unveröffentlichten Produkten erbeutet zu haben. Charakteristisch für die Gruppe sind das arbeitsteilige Partnermodell sowie der Diebstahl vertraulicher Informationen als Druckmittel im Anschluss an erfolgreiche Angriffe.
Taktiken & Vorgehen
Den Erstzugang verschafft sich REvil über gültige Konten, insbesondere über auf einschlägigen Marktplätzen und bei Zugangshändlern erworbene RDP-Zugangsdaten, sowie über das Ausnutzen exponierter Anwendungen wie Kaseya VSA, Pulse Secure VPN und Oracle WebLogic; ein Lieferketten-Angriff über eine vertrauenswürdige IT-Verwaltungssoftware ermöglichte die gleichzeitige Verteilung an zahlreiche Kunden. Zur Ausführung kommen PowerShell und Msiexec zum Einsatz. Werkzeuge wie AdFind und Bloodhound dienen der Erkundung, Mimikatz dem Auslesen von Zugangsdaten aus dem LSASS-Speicher, Cobalt Strike der Steuerung. Die Schadprogramme nutzen eigene Packer und RC4-Verschlüsselung sowie Sandbox-Erkennung. Über RDP erfolgt die laterale Bewegung. Mittels RClone werden Daten zu Cloud-Speichern abgezogen (Double Extortion); BITSAdmin, Sendspace und PrivatLab ergänzen das Arsenal. Schattenkopien werden via vssadmin gelöscht, die Wiederherstellung per bcdedit unterbunden.
Schutzmaßnahmen
Fernzugänge per RDP sollten über VPN, Mehr-Faktor-Authentisierung und eine Begrenzung erreichbarer Endpunkte abgesichert werden, da REvil kompromittierte RDP-Zugangsdaten für Erstzugang und laterale Bewegung nutzt. Exponierte Anwendungen wie VPN-Gateways und Verwaltungssoftware sollten zeitnah gepatcht und nur eingeschränkt erreichbar gehalten werden. Die Ausführung von PowerShell und Msiexec sollte protokolliert und über Anwendungssteuerung eingeschränkt werden. Der Zugriff auf den LSASS-Speicher sollte überwacht werden, um das Auslesen von Zugangsdaten mit Mimikatz zu erkennen. Ungewöhnliche ausgehende Übertragungen zu Cloud-Speichern sollten überwacht werden, um Datenabfluss über RClone aufzudecken. Manipulationen an Schattenkopien (vssadmin) und an der Wiederherstellungsumgebung (bcdedit) sollten alarmiert werden.
Chronologie
- 26.08.2019 Erste bekannte Aktivität
- 28.11.2022 Zuletzt aktiv
Erwähnt in
- BKA identifiziert mutmaßlichen Kopf hinter REvil und GandCrab 07.04.2026
- BKA identifiziert mutmaßliche Köpfe hinter GandCrab- und REvil-Ransomware 07.04.2026
- Deutsche Ermittler identifizieren zwei mutmaßliche Mitglieder der REvil-Bande 06.04.2026
- BKA enttarnt zwei mutmaßliche Köpfe der Ransomware-Gruppe REvil 06.04.2026
- Deutsche Ermittler enttarnen mutmaßlichen Kopf der Ransomware-Gruppen REvil und GandCrab 06.04.2026
- Veeam schließt vier kritische RCE-Lücken in Backup & Replication 12.03.2026