De afgelopen maanden was de cybercriminele wereld vol geruchten dat het leiderschap van REvil, een van de meest beruchte ransomware-groepen, zijn eigen leden oplichten. De informatie die alleen bekend was vanwege het beperkte aantal mensen is nu beschikbaar voor het publiek nadat verschillende cyberbeveiligingsrapporten zijn gepubliceerd.
REvil`s geheime achterdeur
Cybersecurity-expert Yelisey Boguslavski, hoofd onderzoek bij het cyberrisicopreventiebedrijf Advanced Intelligence, deelde op zijn Linkedin-pagina de informatie over de regeling die in actie was. Cyberbeveiligingsspecialisten wisten al dat deze ransomwaregroep dubbele chats gebruikte. Maar in dit rapport werd nieuw bewijs ontdekt. Een speciale achterdeur kan bestanden in het geheim ontsleutelen. Er werd een soort omweg gecreëerd en het geld ging naar anderen dan de aangeslotene zelf. Ook, voegde hij eraan toe na onderzoek van de nieuwste voorbeelden, het lijkt erop dat na de reactivering ransomware-malware van de achterdeur is verwijderd.
"Het lijkt erop dat de nieuwe monsters zijn herwerkt en de achterdeur is schoongemaakt, Echter, het is een belangrijk bewijs van de praktijken van REvil als aangesloten oplichters. Dit bewijs correleert met de manier waarop de underground REvil benadert als een spraakzame en voortdurend liegende groep die niet mag worden vertrouwd door de gemeenschap of zelfs door haar eigen leden” — Yelisey Boguslavski op zijn Linkedin-pagina1
Een hacker met de naam Signature deelde zijn vermoedens op een forum en vertelde hoe het slachtoffer bereid was te betalen 7 miljoen dollar en plotseling eindigde het gesprek op de een of andere manier abrupt; hij denkt dat een van de operators van de Revil het gesprek heeft gevoerd. Mensen die gelieerd waren aan de Revils delen soortgelijke vermoedens.
Wie is REvil??
REvil ook bekend als Sodin of Sodinokibi is een ransomware-as-a-service (RAAS) bedrijfsmodel met een ouderlijke centrale die malware maakt en gelieerde ondernemingen die vuile onderhandelingen voeren en systemen versleutelen. Deze zomer haalde de groep al de krantenkoppen toen het werk van een grote vleesleverancier JBS en brandstofleverancier Colonial Pipeline lam lag. IT-provider Kaseya werd ook getroffen door de bende en direct daarna ging het ransomware-platform offline. Nog niet zo lang geleden hebben veel cybersecurity-onderzoekers gemeld dat de REvil hun werk heeft hervat.
De gebruikelijke manier van werken voor de REvil's filialen is dat ze een lading krijgen om het slachtoffer te infecteren en het is dan de taak voor de filialen om in het netwerk te graven om de aanwezigheid van ransomware te beveiligen. De volgende fase komt wanneer de onderhandelingen over losgeldbetalingen aan de gang zijn en de aangesloten partners, die al het harde werk doen om namens de ransomware-groep contact op te nemen met het slachtoffer, alles krijgen 70 procent van het inkomen en de andere 30 procent gaat naar het leiderschap van de REvil.
