El grupo de hackers REvil engañó a sus socios gracias a una puerta trasera

REvil deceived its partners

Los investigadores descubrieron que los creadores de REvil engañaron a sus socios utilizando un esquema que les permitía descifrar cualquier sistema bloqueado por el ransomware y cobrar el rescate completo..

Sus socios se quedaron sin nada.

Rumores de este tipo circulan desde hace tiempo en los foros de hackers, pero recientemente fueron confirmados por investigadores de ciberseguridad y desarrolladores de malware.. los medios de comunicación Bleeping Computer informan.

Déjame recordarte que REvil (también conocido como sodinokibi) ha existido desde 2019 y se considera ser el heredero del ransomware GandCrab. El ransomware opera según Ransomware-as-a-Service (RaaS, ransomware-como-servicio) esquema, eso es, Los desarrolladores de malware tratan directamente con malware y sitios de pago., y sus socios contratados piratean a las víctimas’ redes y cifrar dispositivos. Como resultado, Los pagos del rescate se distribuyen entre el propio grupo de hackers y sus socios., este último suele recibir 70-80% del total.

Evgeny Boguslavsky, un especialista en Intel avanzado, dijo a los periodistas que desde al menos 2020, Ha habido rumores en foros de hackers de que los creadores de REvil suelen negociar con las víctimas en chats secretos., mientras sus parejas ni siquiera lo saben. Estos rumores comenzaron a aparecer con más frecuencia después de la desaparición repentina del ransomware DarkSide y Avaddon (los operadores de estos últimos generalmente publicado claves de descifrado para sus víctimas).

Las personas que trabajaron con REvil participaron en estas discusiones., por ejemplo, Los socios del grupo que proporcionaron a los piratas informáticos acceso a las redes de otras personas., 'pruebas de penetración’ servicios, Especialistas en VPN, etcétera.dijo el experto.

Según Boguslavsky, Los administradores de REvil a veces crean un segundo chat, Idéntico al que utilizan sus parejas para negociar con la víctima.. Cuando las negociaciones llegan a un punto crítico, Los creadores de REvil intervienen y retratan a una víctima que supuestamente rompe abruptamente las negociaciones., negarse a pagar el rescate. De hecho, Los propios autores de REvil continúan las negociaciones con las víctimas., tomar todo el rescate y dejar a sus socios sin nada.

Recientemente, Estos rumores se han vuelto más fundamentados., como informó el ingeniero inverso en foros de piratería que el malware REvil, que los operadores de RaaS proporcionan a sus socios para su implementación en las víctimas’ redes, contiene una «puerta trasera criptográfica». El descubrimiento se produjo después de Bitdefender. liberado una herramienta versátil para descifrar datos después de los ataques de REvil.

Curiosamente, El control total sobre lo que está sucediendo y la capacidad de descifrar cualquier sistema es una práctica que también utilizan otros ransomware.. Así que, Boguslavsky dice que, según los rumores, los operadores de DarkSide trabajaron de la misma manera. Después cambio de marca a Materia Negra, Los atacantes anunciaron abiertamente esta práctica., hacer entender a todos que se reservan el derecho de hacerse cargo de las negociaciones en cualquier momento sin dar ningún motivo.

El jefe de Inteligencia Avanzada, Vitaly Kremez, le dijo a Bleeping Computer que las últimas muestras de REvil que han aparecido recientemente, después del grupo actividad restaurada, ya no tiene una clave maestra que permitiría descifrar cualquier sistema que haya sido bloqueado por REvil.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *