REvil (Sodinokibi) – Die Aufstieg und Fall einer der gefährlichsten Ransomware-Gruppen der Welt

Die Cyberwelt kennt viele Namen. Doch REvil, auch bekannt als Sodinokibi, hat sich einen Platz in der Geschichte der schwerwiegendsten Ransomware-Gruppen gesichert. Zwischen 2019 und 2022 versetzte diese Organisation Unternehmen, Regierungen und Sicherheitsbehörden weltweit in Alarmbereitschaft. Ihr Markenzeichen: hochprofessionelle Angriffe, riesige Lösegeldforderungen und global vernetzte Operationen.

REvil wurde erstmals im April 2019 entdeckt und trat zunächst als Nachfolger der GandCrab-Ransomware auf. Die Gruppe operierte nach dem Modell des Ransomware-as-a-Service (RaaS):

• Die Hauptentwickler der Schadsoftware stellten ihr “Produkt” Affiliates zur Verfügung.
• Diese führten eigenständig Angriffe durch und zahlten einen Anteil des erpressten Lösegelds an das Kernteam.

Auffällig: REvil vermied Angriffe auf Länder des ehemaligen Ostblocks – ein Hinweis auf die mutmaßliche Herkunft aus Russland oder russischsprachigen Regionen.

REvil war technisch extrem versiert und kombinierte klassische Angriffsmuster mit modernen Exploits. Zu den Hauptmethoden zählten:

• Phishing-Kampagnen mit schädlichen Anhängen oder Links
• Ausnutzen von Sicherheitslücken (z. B. Microsoft Exchange, VPN-Schwachstellen)
• Missbrauch von RDP-Zugängen mit gestohlenen Zugangsdaten

Nach dem Eindringen wurden Daten exfiltriert und anschließend verschlüsselt. Die Opfer erhielten eine Lösegeldforderung – oft im zweistelligen Millionenbereich. REvil nutzte das Prinzip der doppelten Erpressung: Keine Zahlung bedeutete nicht nur Datenverlust, sondern auch die Veröffentlichung sensibler Informationen im Darknet.

REvil war verantwortlich für einige der größten Ransomware-Vorfälle der Geschichte:

• JBS (Mai 2021)

Der weltweit größte Fleischproduzent musste mehrere Werke schließen. REvil forderte und erhielt 11 Millionen US-Dollar in Bitcoin.

• Kaseya (Juli 2021)

Ein Angriff über den IT-Dienstleister Kaseya legte weltweit bis zu 1.500 Unternehmen lahm. REvil verlangte 70 Millionen USD für einen universellen Decryptor.

• Acer (März 2021)

Der taiwanesische Elektronikriese wurde Opfer einer REvil-Attacke – die geforderte Summe: 50 Millionen USD.

Diese Attacken sorgten weltweit für Schlagzeilen und führten zu einem massiven Druck auf Strafverfolgungsbehörden.

Nach dem Kaseya-Angriff intensivierten US-Behörden ihre Ermittlungen. Der russische Inlandsgeheimdienst FSB gab im Januar 2022 bekannt, dass er auf Bitte der USA die Gruppe zerschlagen habe:

• Mehrere Mitglieder wurden festgenommen
• Kryptowährung im Wert von mehreren Millionen US-Dollar beschlagnahmt
• Server und Kommunikationsinfrastruktur wurden abgeschaltet

Diese Operation war ein seltener Fall internationaler Kooperation im Bereich Cyberkriminalität.

REvil kombinierte mehrere Erfolgsfaktoren:

• Technisch fortschrittliche Malware
• Hohes Maß an Organisation und Kommunikation
• Effiziente Verhandlungssysteme für Opfer
• Global verteilte Affiliates

Vor allem aber zielte REvil auf große, zahlungsfähige Unternehmen – mit dem Ziel, maximale Aufmerksamkeit und Erpressungspotenzial zu generieren.

Auch wenn REvil offiziell zerschlagen ist, lebt ihre Methode weiter. Der Code, die Taktiken und Teile des Netzwerks zirkulieren noch immer in Untergrundforen. Neue Gruppen wie BlackCat, Royal oder LockBit nutzen ähnliche Ansätze.

Unternehmen müssen sich wappnen:

• Schwachstellen frühzeitig schließen
• Backups aktuell & offline halten
• Mitarbeiter in IT-Sicherheit schulen
• Notfallpläne bereithalten

Und im Ernstfall gilt: Keine Panik, keine Selbstversuche – sondern sofort professionelle Hilfe einschalten.

Wir stehen bereit: für akute Ransomware-Fälle, Datenrettung und digitale Forensik.

Professionell. Diskret. Rund um die Uhr.