REvil estafa a sus propios miembros

Durante los últimos meses, el mundo de los ciberdelincuentes estuvo lleno de rumores de que el liderazgo de REvil, uno de los grupos de ransomware más notorios, estafar a sus propios miembros. La información que solo se conocía para el número restringido de personas ahora está disponible para el público después de que se hayan publicado varios informes de ciberseguridad..

La puerta trasera secreta de REvil

Experta en ciberseguridad Yelisey Boguslavski, jefe de investigación de la firma de prevención de riesgos cibernéticos Advanced Intelligence, compartió en su página de Linkedin la información sobre el esquema que estaba en acción. Los especialistas en ciberseguridad ya sabían que este grupo de ransomware usaba chats dobles. Pero en este informe se descubrió nueva evidencia. Una puerta trasera especial podría descifrar archivos en secreto. Se creó algún tipo de desvío y el dinero se fue a otros que no fueran los propios afiliados.. también, agregó después de examinar las muestras más nuevas, parece que después de que el malware ransomware de reactivación se limpiara de la puerta trasera.

"Parece que las nuevas muestras fueron reelaboradas y la puerta trasera se limpió, sin embargo, es una prueba significativa de las prácticas de REvil como estafadores afiliados. Esta evidencia se correlaciona con el enfoque de la clandestinidad hacia REvil como un grupo hablador y que miente perpetuamente en el que no debe confiar la comunidad o incluso sus propios miembros "- Yelisey Boguslavski en su página de Linkedin1

Un hacker que se hacía llamar Signature compartió sus sospechas en un foro y contó el caso de cómo la víctima estaba dispuesta a pagar. 7 millones de dólares y de repente la conversación terminó abruptamente de alguna manera; cree que uno de los operadores del Revil tomó la conversación. Las personas que estaban afiliadas a los Revils comparten sospechas similares..

Quién es REvil?

REvil también conocido como Sodin o Sodinokibi es un ransomware-as-a-service (RAAS) modelo de negocio que tiene una central parental que crea malware y afiliados que hacen un trabajo sucio en las negociaciones y los sistemas de cifrado. Este verano el grupo ya llegó a lo más alto de los titulares cuando se paralizó el trabajo de un importante proveedor de carne, JBS, y el proveedor de combustible Colonial Pipeline.. El proveedor de TI Kaseya también se vio afectado por la pandilla y, justo después, la plataforma de ransomware se desconectó.. No hace mucho tiempo, muchos investigadores de ciberseguridad han estado informando de que REvil reanudó su trabajo..

Nota de rescate del mal
Nota de rescate de REvil ransomware

La forma habitual de trabajo para los afiliados de REvil es que obtienen una carga útil para infectar a la víctima y luego es la tarea de los afiliados excavar en la red para asegurar la presencia de ransomware.. La siguiente etapa llega cuando las negociaciones sobre el pago del rescate están en marcha, entonces los afiliados, que hacen todo el trabajo duro en términos de contactar a la víctima en nombre del grupo de ransomware, obtener toda 70 por ciento de los ingresos y el otro 30 por ciento irá al liderazgo de REvil.

  1. https://www.linkedin.com/feed/update/urn:en el:actividad:6845837344713519104/

Polina Lisovskaya

Trabajo como gerente de marketing desde hace años y me encanta buscar temas interesantes para ti.

Deja una respuesta

Botón volver arriba