Die Hackergruppe REvil, die jüngst mit zwei grossen Lösegeld-Angriffen für Schlagzeilen sorgte, ist schlagartig aus dem Netz verschwunden. Die Website, über die Kontakt zu den Opfern ihrer Attacken gehalten wurde, ging am Dienstag offline, wie IT-Sicherheitsexperten berichteten.
Auch die Chat-Funktion und Zahlungsportale sind weg. Myriam Dunn Cavelty, Expertin für Cyber-Sicherheit am Center for Security Studies der ETH Zürich, bestätigt: «Die Gruppe ist vollständig aus dem Darknet verschwunden. Das ist ziemlich verblüffend. Soweit ich weiss, hat man das so noch nie beobachtet.»
Reaktion auf amerikanischen Druck?
Die Gründe dafür blieben zunächst unklar. Die Gruppe wird von Experten in Russland verortet. US-Präsident Joe Biden hatte vergangene Woche nach Gesprächen mit dem russischen Präsidenten Wladimir Putin mit Konsequenzen gedroht, falls die Regierung in Moskau nicht gegen kriminelle Hacker auf ihrem Boden vorgeht.
Spekuliert wird nun, dass die USA oder auch der russische Geheimdienst den Server abgeschaltet haben könnten. Dunn Cavelty hält es jedoch für unwahrscheinlich, dass die USA verantwortlich für das plötzliche Verschwinden von REvil sind – obwohl sie den Druck zuletzt massiv erhöht haben. «Ich halte es für am wahrscheinlichsten, dass REvil einfach zu erfolgreich war und zu viel Aufmerksamkeit erhalten hat – und dadurch eine stärkere Aktion gegen sich befürchtet hat.»
Demnach könnte die Hackergruppe selbst den Stecker gezogen haben, um sich aus der Schusslinie zu nehmen. Die Sicherheitsexpertin kann sich denn auch vorstellen, dass die Gruppe unter neuem Namen und mit neuer Infrastruktur wieder auftaucht.
Das Geschäft mit Cyber-Attacken scheint in Russland zu florieren. Vor kurzem war auch die Online-Präsenz der ebenfalls in Russland vermuteten Hackergruppe Darkside verschwunden. Die Hacker hatten mit einer Cyber-Attacke auf eine wichtige US-Benzinpipeline rund 4.4 Millionen Dollar in Kryptowährungen erpresst. Gut die Hälfte davon wurde allerdings wenig später von der US-Bundespolizei FBI beschlagnahmt.
REvils Verschwinden «opportun» für Russland
Ein weiteres Problem: Entsprechende Software wird auch an Dritte verkauft, die wiederum beliebig Angriffe auf Firmen und Institutionen starten und diese erpressen können. Expertin Dunn Cavelty glaubt nicht, dass dies auf Dauer im Interesse der russischen Regierung sein kann.
Es stimme zwar, dass die russische Regierung die organisierte Kriminalität im Cyberspace bis zu einem gewissen Grad dulde. «Zum anderen ist es aber auch nicht einfach, Cyber-Kriminellen, die oft länderübergreifend agieren, habhaft zu werden.»
Für die russische Seite sei das Verschwinden von REvil zum jetzigen Zeitpunkt sehr opportun, um Goodwill bei den USA zu schaffen. «Egal, ob sie selber daran beteiligt war oder nicht.» Mit Blick in die Zukunft hält Dunn Cavelty ein gemeinsames Vorgehen Russlands und der USA gegen Cyber-Kriminalität durchaus für denkbar. Die Voraussetzung: «Eine gemeinsame Vorstellung davon, was man will und was man nicht will – und gemeinsame Interessen.»
Letztlich gilt es aber auch, zwischen kommerziellen Hackergruppen und solchen zu unterscheiden, die politische Ziele verfolgen und etwa von Geheimdiensten eingesetzt werden. «Bei Cybercrime geht es immer um Geld, bei politisch-strategischem Hacken geht es um geheime Daten oder darum, den Gegner zu manipulieren.» Die Kooperationsbereitschaft bei der Abwehr von Cyber-Attacken dürfte also natürliche Grenzen kennen.
