Οι εγκληματίες στον κυβερνοχώρο συνειδητοποιούν ότι οι χειριστές του ransomware REvil ενδέχεται να είχαν κάνει hijack τις διαπραγματεύσεις για λύτρα, για να αποκόψουν τις πληρωμές των συνεργατών τους.
Δείτε επίσης: Marketron: Το BlackMatter ransomware στόχευσε τον software πάροχο
Χρησιμοποιώντας ένα κρυπτογραφικό σχήμα που τους επέτρεπε να αποκρυπτογραφήσουν οποιοδήποτε σύστημα κλειδωμένο από ransomware REvil, οι χειριστές άφησαν τους συνεργάτες τους έξω από τη συμφωνία και έκλεβαν το συνολικό ποσό των λύτρων.
Οι συνομιλίες σχετικά με αυτήν την πρακτική ξεκίνησαν πριν από λίγο σε υπόγεια forums, σε δημοσιεύσεις συνεργατών της συμμορίας και επιβεβαιώθηκαν πρόσφατα από ερευνητές ασφαλείας και από προγραμματιστές malware.
Το ransomware REvil, γνωστό και ως Sodinokibi, εμφανίστηκε το πρώτο εξάμηνο του 2019 και έφτιαξε τη φήμη του ως διαδόχου της λειτουργίας GandCrab ransomware-as-a-service (RaaS).
Το επιχειρηματικό μοντέλο RaaS για εγκληματικές δραστηριότητες στον κυβερνοχώρο περιλαμβάνει έναν προγραμματιστή, ο οποίος δημιουργεί το κακόβουλο λογισμικό και δημιουργεί την υποδομή και συνεργάτες που προσλαμβάνονται για παραβίαση και κρυπτογράφηση θυμάτων. Οι διαδικασίες διαιρούνται μεταξύ των δύο μερών με τους συνεργάτες να λαμβάνουν το μεγαλύτερο μερίδιο (συνήθως 70-80%).
Δείτε επίσης: BlackMatter ransomware: Ζητά 5.9 εκατομμύρια από αγροτικό συνεταιρισμό
Η συμμορία REvil ανέπτυξε μια ιδιαίτερα προσοδοφόρα ιδιωτική επιχείρηση στην οποία δεχόταν μόνο πολύ έμπειρους χάκερ.
Εάν και η επιχείρηση REvil ξεκίνησε ως μια «τίμια» εγκληματική ομάδα στον κυβερνοχώρο, σύντομα μεταπήδησε στην απάτη των συνεργατών της.
Ο Yelisey Boguslavskiy, επικεφαλής στην Advanced Intel, δήλωσε στο BleepingComputer ότι τουλάχιστον από το 2020 διάφοροι χάκερ στα υπόγεια φόρουμ ισχυρίστηκαν ότι οι χειριστές του RaaS ξεκίνησαν διαπραγματεύσεις με τα θύματα σε μυστικές συνομιλίες, εν αγνοία των συνεργατών της.
Ο Boguslavskiy λέει ότι οι διαχειριστές του REvil έχουν ανοίξει μια δεύτερη συνομιλία, πανομοιότυπη με αυτήν που χρησιμοποιούσαν οι συνεργάτες τους για να διαπραγματευτούν τα λύτρα με το θύμα.
Όταν οι συνομιλίες έφταναν σε ένα κρίσιμο σημείο, η ομάδα REvil πήγαινε στην αρχική συνομιλία, την χάκαρε και παριστάνοντας το θύμα έλεγε στους συνεργάτες πως σταματάει τις διαπραγματεύσεις και δεν θέλει να πληρώσει τα λύτρα, εξήγησε ο Boguslavskiy.
Δείτε επίσης: Windows MSHTML bug: Ransomware ομάδες εκμεταλλεύονται το σφάλμα
Στην συνέχεια στην δεύτερη συνομιλία οι διαχειριστές του Revil συνέχιζαν τις συζητήσεις με το θύμα και μόλις συμφωνούσαν έπαιρναν το σύνολο των λύτρων χωρίς να δώσουν στους συνεργάτες το μερίδιο τους.
Πηγή πληροφοριών: bleepingcomputer.com
