REvil golpeia seus próprios membros

Nos últimos meses, o mundo do cibercriminoso estava cheio de rumores de que a liderança de REvil, um dos grupos de ransomware mais notórios, enganar seus próprios membros. As informações que eram conhecidas apenas para um número restrito de pessoas agora estão disponíveis para o público após a publicação de vários relatórios de cibersegurança..

A porta dos fundos secretos de REvil

Especialista em segurança cibernética Yelisey Boguslavski, chefe de pesquisa da empresa de prevenção de riscos cibernéticos Advanced Intelligence, compartilhou em sua página do Linkedin as informações sobre o esquema que estava em ação. Os especialistas em segurança cibernética já sabiam que este grupo de ransomware usava bate-papos duplos. Mas neste relatório foram descobertas novas evidências. Um backdoor especial pode descriptografar arquivos secretamente. Foi criado algum tipo de desvio e o dinheiro foi para outras pessoas que não os próprios afiliados. Além disso, ele acrescentou, após o exame das amostras mais recentes, parece que depois que o malware de ransomware de reativação foi removido do backdoor.

“Parece que as novas amostras foram retrabalhadas e a porta dos fundos foi limpa, Contudo, é uma evidência significativa das práticas do REvil como golpistas afiliados. Esta evidência se correlaciona com a abordagem clandestina de REvil como um grupo falante e perpetuamente mentiroso que não deve ser confiável pela comunidade ou mesmo por seus próprios membros ”- Yelisey Boguslavski em sua página do Linkedin1

Um hacker que atendia pelo nome de assinatura compartilhou suas suspeitas em um fórum, relatando o caso de como a vítima estava pronta para pagar 7 milhões de dólares e de repente a conversa terminou abruptamente de alguma forma; ele acha que um dos operadores do Revil levou a conversa. Pessoas que eram afiliadas dos Revils compartilham suspeitas semelhantes.

Quem é REvil?

REvil também conhecido como Sodin ou Sodinokibi é um ransomware-as-a-service (Raas) modelo de negócios que tem uma central parental que cria malware e afiliados que fazem um trabalho sujo de negociações e sistemas de criptografia. Neste verão o grupo já chegou ao topo das manchetes quando o trabalho de um grande fornecedor de carnes JBS e fornecedor de combustível Colonial Pipeline foi paralisado. A fornecedora de TI Kaseya também foi afetada pela gangue e logo depois disso a plataforma de ransomware ficou offline. Não muito tempo atrás, muitos pesquisadores de segurança cibernética têm feito relatórios de que o REvil retomou seu trabalho.

Nota de resgate vil
Nota de resgate do REvil ransomware

A maneira usual de trabalhar para os afiliados do REvil é obter uma carga útil para infectar a vítima e, então, cabe aos afiliados cavar na rede para proteger a presença do ransomware. A próxima etapa ocorre quando as negociações sobre o pagamento do resgate estão em andamento, então os afiliados, que fazem todo o trabalho árduo em termos de contato com a vítima em nome do grupo de ransomware, pegue tudo 70 por cento da receita e o outro 30 por cento irá para a liderança do REVIL.

  1. https://www.linkedin.com/feed/update/urn:no:atividade:6845837344713519104/

Polina Lisovskaya

Trabalho como gerente de marketing há anos e adoro pesquisar tópicos interessantes para você

Deixe uma resposta

Botão Voltar ao Topo