Os pesquisadores descobriram que os criadores do REvil enganaram seus parceiros usando um esquema que lhes permitiu descriptografar quaisquer sistemas bloqueados pelo ransomware e receber todo o resgate para si..
Seus parceiros acabaram sem nada.
Deixe-me lembrá-lo que REvil (também conhecido como Sodinokibi) existe desde 2019 e é considerado ser o herdeiro do ransomware GandCrab. O ransomware opera de acordo com o Ransomware-as-a-Service (RaaS, ransomware como serviço) esquema, aquilo é, desenvolvedores de malware lidam diretamente com malware e sites de pagamento, e seus parceiros contratados hackeiam vítimas’ redes e criptografar dispositivos. Como resultado, os pagamentos do resgate são distribuídos entre o próprio grupo de hackers e seus parceiros, com este último geralmente recebendo 70-80% do total.
Evgeny Boguslavsky, especialista em Advanced Intel, disse aos repórteres que desde pelo menos 2020, houve rumores em fóruns de hackers de que os criadores do REvil frequentemente negociam com as vítimas em chats secretos, enquanto seus parceiros nem sabem disso. Esses rumores começaram a aparecer com mais frequência após o desaparecimento repentino dos ransomware DarkSide e Avaddon (os operadores destes últimos geralmente Publicados chaves de descriptografia para suas vítimas).
De acordo com Boguslavsky, Os administradores do REvil às vezes criam um segundo chat, idêntico ao que seus parceiros usam para negociar com a vítima. Quando as negociações chegam a um ponto crítico, os criadores do REvil intervêm e retratam uma vítima que supostamente interrompe abruptamente as negociações, recusando-se a pagar o resgate. Na verdade, os próprios autores do REvil continuam negociações com as vítimas, pegue todo o resgate e deixe seus parceiros sem nada.
Recentemente, esses rumores se tornaram mais fundamentados, como o engenheiro reverso relatou em fóruns de hackers que o malware REvil, que os operadores RaaS fornecem aos seus parceiros para implantação nas vítimas’ redes, contém um “porta dos fundos criptografada”. A descoberta veio depois do Bitdefender lançado uma ferramenta versátil para descriptografar dados após os ataques REvil.
Interessantemente, o controle total sobre o que está acontecendo e a capacidade de descriptografar qualquer sistema é uma prática que outros ransomware também usam. Então, Boguslavsky diz que, de acordo com rumores, os operadores DarkSide trabalharam da mesma maneira. Depois Reformulação para BlackMatter, os atacantes anunciaram abertamente esta prática, fazer com que todos entendam que se reservam o direito de assumir as negociações a qualquer momento, sem dar qualquer motivo.
O chefe de Inteligência Avançada, Vitaly Kremez, disse ao Bleeping Computer que as últimas amostras do REvil que apareceram recentemente, depois do grupo atividade restaurada, não possui mais uma chave mestra que permitiria descriptografar qualquer sistema que foi bloqueado pelo REvil.