Ransomware-1.jpg

REvil é acusado de adicionar backdoor para enganar afiliados

Operadores do ransomware são apontados por “sequestrar” as negociações dos afiliados para interromper pagamentos de resgate e assumirem as conversações para ficar com o dinheiro
Da Redação
23/09/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Cibercriminosos acusam os operadores do ransomware REvil de “sequestrarem” negociações dos afiliados para interromper pagamentos de resgate e assumirem as conversações para ficar com o dinheiro. Ao usar um esquema criptográfico que lhes permitia descriptografar qualquer sistema bloqueado, os operadores do REvil deixavam seus parceiros fora do negócio e passavam a negociar com as vítimas.

As conversas sobre essa prática começaram há algum tempo em fóruns da dark web, por meio de postagens de afiliados à gangue, e foram confirmadas recentemente por pesquisadores de segurança e desenvolvedores de malware.

O REvil ransomware, também conhecido como Sodinokibi, surgiu no primeiro semestre de 2019 e construiu reputação de sucessor do ransomware-as-a-service (RaaS) GandCrab. O modelo de negócio de um RaaS envolve um desenvolvedor, que cria o ransomware e configura a infraestrutura, e afiliados recrutados para violar e criptografar as vítimas. Os recursos obtidos com o pagamento de resgates são divididos entre as duas partes, com os afiliados recebendo a parcela maior, normalmente entre 70% e 80%.

Promovida por veteranos de fóruns clandestinos, a gangue REvil desenvolveu uma operação privada altamente lucrativa que aceitava apenas hackers de rede experientes. Depois, a gangue de ransomware passou a aceitar afiliados e firmou a imagem de um grupo “honesto”, mas logo passou a fraudá-los com a prometida parcela de 70% do resgate das vítimas pagantes.

Veja isso
Bitdefender libera chave para REvil/Sodinokibi
Ransomware REvil está de volta e com seu site funcionando

Yelisey Boguslavskiy, chefe de pesquisa da Advanced Intel, disse ao BleepingComputer que desde pelo menos 2020 vários afiliados passaram a alegar em fóruns clandestinos que os operadores do REvil estavam assumindo negociações com vítimas em bate-papos secretos, sem o conhecimento deles. O boato se tornou mais frequente após o súbito desligamento do ransomware DarkSide e a saída do Avaddon ao liberar as chaves de descriptografia para suas vítimas.

As conversas envolveram indivíduos que desempenharam papel importante nos ataques do REvil, como parceiros que forneceram acesso à rede, serviços de teste de penetração, especialistas em VPN e afiliados em potencial. Boguslavskiy diz que os administradores do REvil estão abrindo um segundo chat, idêntico ao usado por seus afiliados para negociar resgate com a vítima.

“Quando as negociações chegavam a um ponto crítico, operadores do REvil assumiam o controle se passando por uma vítima que desistia das negociações sem pagar o resgate. A partir daí, a gangue continuava as negociações com a vítima e ficava com o resgate integral, sem que o afiliado soubesse”, explica o pesquisador da Advanced Intel.

Recentemente, os rumores ganharam mais substância à medida que uma operação de engenharia reversa de malware forneceu evidências da prática, chamada de double-dipping, do REvil. Os boatos dão conta da existência de uma “cryptobackdoor” nas amostras do REvil que os operadores deram aos afiliados para implantar nas redes das vítimas.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest