I de sidste par måneder var cyberkriminel verden fuld af rygter om REvils ledelse, en af de mest berygtede ransomware -grupper, snyde sine egne medlemmer. De oplysninger, der kun var kendt for det begrænsede antal mennesker, er nu tilgængelige for offentligheden, efter at flere cybersikkerhedsrapporter er blevet offentliggjort.
REvils hemmelige bagdør
Cybersikkerhedsekspert Yelisey Boguslavski, forskningschef hos det cyberrisikoforebyggende firma Advanced Intelligence, delte på sin Linkedin -side oplysninger om ordningen, der var i aktion. Cybersikkerhedsspecialister vidste allerede, at denne ransomware -gruppe brugte dobbelte chats. Men i denne rapport blev der fundet nye beviser. En særlig bagdør kunne dekryptere filer i hemmelighed. Der blev skabt en eller anden omvej, og pengene gik til andre end affiliaten selv. også, tilføjede han efter undersøgelse af de nyeste prøver, det ser ud til, at efter genaktivering af ransomware -malware blev renset fra bagdøren.
”Det ser ud til, at de nye prøver blev omarbejdet, og bagdøren blev renset ud, imidlertid, det er et væsentligt bevis på REvils praksis som tilknyttede svindlere. Dette bevis korrelerer med undergrundens tilgang til REvil som en snakkesalig og evigt løgnagtig gruppe, som ikke bør stole på af samfundet eller endda af sine egne medlemmer. " - Yelisey Boguslavski på sin Linkedin -side1
En hacker, der gik under navnet Signature, delte sine mistanke på et forum, der fortalte sagen om, hvordan offeret var klar til at betale 7 millioner dollars og pludselig sluttede samtalen pludselig på en eller anden måde; han tror, at en af Revils operatører tog samtalen. Folk, der var tilknyttet Revils, deler lignende mistanker.
Hvem REvil er?
REvil også kendt som Sodin eller Sodinokibi er en ransomware-as-a-service (RAAS) forretningsmodel, der har en forældrecentral, der laver malware og associerede virksomheder, der gør et beskidt stykke arbejde med forhandlinger og krypteringssystemer. I sommer kom gruppen allerede til toppen af overskrifterne, da arbejdet hos en stor kødleverandør JBS og brændstofleverandør Colonial Pipeline blev lammet. IT -udbyder Kaseya blev også påvirket af banden og lige efter gik ransomware -platformen offline. For ikke længe siden har mange cybersikkerhedsforskere lavet rapporter om, at REvil genoptog deres arbejde.
Den sædvanlige arbejdsmåde for REvils datterselskaber er, at de får en nyttelast til at inficere offeret, og det er derefter opgaven for datterselskaberne at grave i netværket for at sikre ransomware -tilstedeværelsen. Den næste fase kommer, når forhandlingerne om løsepengebetalinger er i gang, derefter associerede selskaber, der gør alt det hårde arbejde med hensyn til at kontakte offeret på vegne af ransomware -gruppen, få alt 70 procent fra indkomsten og den anden 30 procent vil gå til REvils ledelse.
