Sodinokibi, auch bekannt als REvil, war eine der hartnäckigsten und gefährlichsten Ransomware-Varianten in den Jahren 2020 und 2021. Es wurden damit Lösegeldzahlungen von bis zu 70 Millionen US-Dollar erpresst. Die Cybersicherheits-Community atmete deshalb erleichtert auf, als Sodinokibi im Juli 2021 abrupt verschwand. Leider tauchte die Bande nur wenige Monate später – im September 2021 – wieder auf, um neue Ziele ins Visier zu nehmen. Eine positive Nachricht ist jedoch, dass eine neue Sodinokibi-Entschlüsselungsoption zur Verfügung steht.
Es gibt viele Spekulationen darüber, wie dies möglich wurde. Diskussionen in Online-Hacking-Foren deuten auf eine mögliche Verhaftung eines Anführers der Bande hin. Wenn dies tatsächlich der Fall war, scheint es den Strafverfolgungsbehörden gelungen zu sein, Zugang zu den Servern der Bande erhalten zu haben. Es macht den Eindruck, als ob die Server der Sodinokibi Bande abrupt offline gingen. Die verbleibenden Bandenmitglieder haben sich anschliessend wohl darum bemüht, Ihre Tätigkeit wieder aufnehmen zu können.
Die Strafverfolgungsbehörden haben vermutlich Zugang zum Sodinokibi-Quellcode erhalten und die entsprechenden Informationen mit BitDefender, einer Cybersicherheitsfirma mit Sitz in Rumänien, geteilt. BitDefender machte im Anschluss das Entschlüsselungstool der Öffentlichkeit kostenlos zugänglich.
Der kostenlose Sodinokibi Entschlüsselungsschlüssel
Der veröffentlichte Entschlüsseler kann alle Dateien wiederherstellen, die von Sodinokibi / REvil vor dem 13. Juli 2021 verschlüsselt wurden, also vor dem Zeitpunkt als der Sodinokibi Server ausgefallen ist. BitDefender hat das Sodinokibi-Entschlüsselungstool auf ihrer Webseite hier zur Verfügung gestellt und hat zusätzlich eine detaillierte Anleitung zur Verwendung des Entschlüsselungstools herausgegeben.
Die Cybersecurity-Firma hat bekannt gegeben, dass die Untersuchung zu Sodinokibi noch nicht abgeschlossen sei, veröffentlichte das Tool jedoch trotzdem schnellstmöglich. Dies ist ein proaktiver Schritt, um Opfern zu helfen, die von dem Virus betroffen sind. Es waren auch die Spezialisten von BitDefender, die festgestellt hatten, dass die Sodinokibi Cyberbande wieder online ist. Organisationen weltweit wurden aufgefordert, sich der Bedrohung bewusst zu bleiben.
Es ist durchaus möglich, dass die Bande nach dem Verlust eines wichtigen Führungsmitglieds mit reduzierter Kapazität operiert, eine erhöhte Wachsamkeit ist trotzdem immer noch notwendig.
Lehren, welche für zukünftige Ransomware-Angriffe gezogen werden können
Es ist immer besser, Lösegeldzahlungen zu vermeiden, da Lösegeldzahlungen die Ransomware-Krise weiter anheizen. Kein Lösegeld zu zahlen ist jedoch nicht immer machbar. Diejenigen, die den Forderungen der Cyberkriminellen nicht nachgegeben, können auf jeden Fall folgendes aus der aktuellen Situation mit dem veröffentlichten Sodinobiki Entschlüsselungstool lernen: Es kann sich lohnen, verschlüsselte Daten aus einem Angriff zu behalten, da es durchaus möglich sein kann, diese später wiederherzustellen.
Es kommt immer häufiger vor, dass Ransomware-Banden damit drohen, gehackte Daten zu veröffentlichen. Eine Entschlüsselung zu einem späteren Zeitpunkt ist nicht die ideale Methode der Datenwiederherstellung, aber sie könnte in einigen Fällen eine Option darstellen. Viele Hacker haben Webseiten mit der Zielsetzung Daten der Öffentlichkeit zugänglich zu machen, eingerichtet.
Die dargestellte Situation mit der Sodinokibi Bande ist ein gutes Beispiel für die konstruktive Rolle, die Strafverfolgungsbehörden bei der Bekämpfung von Ransomware spielen können. Wir können nur hoffen, dass wir proaktivere Maßnahmen wie diese sehen werden, um den schädlichen Auswirkungen von Ransomware etwas entgegenzusetzen.
Zögern Sie nicht, uns für eine kostenlose Beratung zu kontaktieren, falls Sie von Ransomware getroffen wurden.