Los investigadores descubrieron que los creadores de REvil engañaron a sus socios utilizando un esquema que les permitía descifrar cualquier sistema bloqueado por el ransomware y cobrar el rescate completo..
Sus socios se quedaron sin nada.
Déjame recordarte que REvil (también conocido como sodinokibi) ha existido desde 2019 y se considera ser el heredero del ransomware GandCrab. El ransomware opera según Ransomware-as-a-Service (RaaS, ransomware-como-servicio) esquema, eso es, Los desarrolladores de malware tratan directamente con malware y sitios de pago., y sus socios contratados piratean a las víctimas’ redes y cifrar dispositivos. Como resultado, Los pagos del rescate se distribuyen entre el propio grupo de hackers y sus socios., este último suele recibir 70-80% del total.
Evgeny Boguslavsky, un especialista en Intel avanzado, dijo a los periodistas que desde al menos 2020, Ha habido rumores en foros de hackers de que los creadores de REvil suelen negociar con las víctimas en chats secretos., mientras sus parejas ni siquiera lo saben. Estos rumores comenzaron a aparecer con más frecuencia después de la desaparición repentina del ransomware DarkSide y Avaddon (los operadores de estos últimos generalmente publicado claves de descifrado para sus víctimas).
Según Boguslavsky, Los administradores de REvil a veces crean un segundo chat, Idéntico al que utilizan sus parejas para negociar con la víctima.. Cuando las negociaciones llegan a un punto crítico, Los creadores de REvil intervienen y retratan a una víctima que supuestamente rompe abruptamente las negociaciones., negarse a pagar el rescate. De hecho, Los propios autores de REvil continúan las negociaciones con las víctimas., tomar todo el rescate y dejar a sus socios sin nada.
Recientemente, Estos rumores se han vuelto más fundamentados., como informó el ingeniero inverso en foros de piratería que el malware REvil, que los operadores de RaaS proporcionan a sus socios para su implementación en las víctimas’ redes, contiene una «puerta trasera criptográfica». El descubrimiento se produjo después de Bitdefender. liberado una herramienta versátil para descifrar datos después de los ataques de REvil.
Curiosamente, El control total sobre lo que está sucediendo y la capacidad de descifrar cualquier sistema es una práctica que también utilizan otros ransomware.. Así que, Boguslavsky dice que, según los rumores, los operadores de DarkSide trabajaron de la misma manera. Después cambio de marca a Materia Negra, Los atacantes anunciaron abiertamente esta práctica., hacer entender a todos que se reservan el derecho de hacerse cargo de las negociaciones en cualquier momento sin dar ningún motivo.
El jefe de Inteligencia Avanzada, Vitaly Kremez, le dijo a Bleeping Computer que las últimas muestras de REvil que han aparecido recientemente, después del grupo actividad restaurada, ya no tiene una clave maestra que permitiría descifrar cualquier sistema que haya sido bloqueado por REvil.