Unter Dieben gibt es keine Ehre

Partner der Ransomware-Gang REvil beschuldigen die Kriminellen, ihre ebenso kriminellen Partner auf geradezu kriminelle Weise betrogen zu haben.

Die berüchtigte Ransomware-Gang REvil, wird von ihren Partnern beschuldigt, sie betrogen zu haben. Diskussionen in diversen russischsprachigen Foren zufolge reichte der Gang die 30-prozentige Kommission der Lösegeldzahlungen der Opfer nicht aus. REvil baute demzufolge eine Backdoor in ihre Infrastruktur ein, die es ihr erlaubte, Lösegeldverhandlungen ihrer Partner mit den Opfern der REvil-Malware (auch bekannt als Sodinokibi), abzubrechen und selbst weiterzuverhandeln.

Dabei wird das Geschäftsmodell von REvil und Co von Sicherheitsforschern als Ransomware-as-a-Service bezeichnet. Die Hackergruppen vermieten die von ihnen entwickelte Malware und die dazugehörige Entschlüsselungs- und Bezahlinfrastruktur an andere Kriminelle, sogenannte Affiliates oder Partner. Im Fall von REvil bekommen die Hintermänner dafür 30 Prozent der Erlöse der Partner. In der Vergangenheit ist es allerdings immer wieder vorgekommen, dass REvil Zahlungen abgreift oder ihre Partner auf anderen Wegen betrügt. Die REvil-Drahtzieher haben eine Backdoor in ihre Malware-Infrastruktur eingebaut, die es ihnen erlaubt, Partnern die Kontrolle über die Malware, beziehungsweise die Entschlüsselungs-Funktionen der selbigen, zu entziehen. Außerdem haben sie wohl die Möglichkeit, in Chats der Kriminellen mit ihren Opfern einzugreifen (was in diesen Kreisen als Double Chat bezeichnet wird).

Die REvil-Drahtzieher hätten so auf geradezu perfide Weise in Lösegeld-Verhandlungen eingegriffen, sagen ihre Partner. Während die Partner mit den Opfern über die REvil-Plattform chatteten und über das Lösegeld für deren verschlüsselte Dateien verhandelten, hätten REvil-Gangmitglieder sich in den Chat eingeschleust und sozusagen als Man-in-the-Middle Nachrichten an beide Parteien verschickt. Während sie ihren Partnern im Namen der Opfer suggerierten, man wolle kein Lösegeld zahlen und die Verhandlungen seien beendet, übernahmen sie selbst die Verhandlungen mit den Opfern und strichen am Ende das gesamte Lösegeld ein – statt den ihnen eigentlich zustehenden 30 Prozent.

Da die Partner solcher Ransomware-Gangs einen großen Teil des Risikos tragen, weil sie es sind, die den Schadcode in den Netzwerken der Opfer platzieren müssen, sind sie verständlicherweise sauer, wenn man sie um ihren – ihrer Ansicht nach – hart erarbeiteten Lohn bringt. Sicherheitsforscher und die Opfer der Erpresser-Gangs sind aber ob des Dramas im Hacker-Untergrund wohl eher amüsiert. Mit etwas Glück nimmt der Ruf der REvil-Gang so starken Schaden, dass sie früher oder später von der Bildfläche verschwindet.

Trotz aller Schadenfreude über das Missgeschick der Kriminellen lehrt uns die Erfahrung der Vergangenheit allerdings, dass in diesem Fall wahrscheinlich einfach eine neue Gang den Platz der geschassten Gauner einnehmen wird.

 

DSGVO Cookie Consent mit Real Cookie Banner