Cibercriminosos acusam os operadores do ransomware REvil de “sequestrarem” negociações dos afiliados para interromper pagamentos de resgate e assumirem as conversações para ficar com o dinheiro. Ao usar um esquema criptográfico que lhes permitia descriptografar qualquer sistema bloqueado, os operadores do REvil deixavam seus parceiros fora do negócio e passavam a negociar com as vítimas.
As conversas sobre essa prática começaram há algum tempo em fóruns da dark web, por meio de postagens de afiliados à gangue, e foram confirmadas recentemente por pesquisadores de segurança e desenvolvedores de malware.
O REvil ransomware, também conhecido como Sodinokibi, surgiu no primeiro semestre de 2019 e construiu reputação de sucessor do ransomware-as-a-service (RaaS) GandCrab. O modelo de negócio de um RaaS envolve um desenvolvedor, que cria o ransomware e configura a infraestrutura, e afiliados recrutados para violar e criptografar as vítimas. Os recursos obtidos com o pagamento de resgates são divididos entre as duas partes, com os afiliados recebendo a parcela maior, normalmente entre 70% e 80%.
Promovida por veteranos de fóruns clandestinos, a gangue REvil desenvolveu uma operação privada altamente lucrativa que aceitava apenas hackers de rede experientes. Depois, a gangue de ransomware passou a aceitar afiliados e firmou a imagem de um grupo “honesto”, mas logo passou a fraudá-los com a prometida parcela de 70% do resgate das vítimas pagantes.
Veja isso
Bitdefender libera chave para REvil/Sodinokibi
Ransomware REvil está de volta e com seu site funcionando
Yelisey Boguslavskiy, chefe de pesquisa da Advanced Intel, disse ao BleepingComputer que desde pelo menos 2020 vários afiliados passaram a alegar em fóruns clandestinos que os operadores do REvil estavam assumindo negociações com vítimas em bate-papos secretos, sem o conhecimento deles. O boato se tornou mais frequente após o súbito desligamento do ransomware DarkSide e a saída do Avaddon ao liberar as chaves de descriptografia para suas vítimas.
As conversas envolveram indivíduos que desempenharam papel importante nos ataques do REvil, como parceiros que forneceram acesso à rede, serviços de teste de penetração, especialistas em VPN e afiliados em potencial. Boguslavskiy diz que os administradores do REvil estão abrindo um segundo chat, idêntico ao usado por seus afiliados para negociar resgate com a vítima.
“Quando as negociações chegavam a um ponto crítico, operadores do REvil assumiam o controle se passando por uma vítima que desistia das negociações sem pagar o resgate. A partir daí, a gangue continuava as negociações com a vítima e ficava com o resgate integral, sem que o afiliado soubesse”, explica o pesquisador da Advanced Intel.
Recentemente, os rumores ganharam mais substância à medida que uma operação de engenharia reversa de malware forneceu evidências da prática, chamada de double-dipping, do REvil. Os boatos dão conta da existência de uma “cryptobackdoor” nas amostras do REvil que os operadores deram aos afiliados para implantar nas redes das vítimas.