Read, hack, repeat

Cibercriminosos estão sendo roubados pelos próprios desenvolvedores do ransomware que alugaram

Guilherme Petry

Cibercriminosos que alugam serviços de ransomwares para extorquir vítimas podem estar sendo roubados pelos próprios grupos que fornecem as ferramentas cibercriminosos no modelo Ransomware-as-a-Service (RaaS).

Segundo o BleepingComputer, conversas em fóruns cibercriminosos na dark web indicam que os operadores do ransomware REvil, um dos mais proeminentes fornecedores de RaaS (com vítimas como JBS, Acer, TJ-RS, Light, Grupo Fleury, Gigaset, entre outro) desenvolveram o malware com um backdoor que permite negociar e receber o pagamento diretamente com a vítima, sem pagar a comissão do contratante.

Usuário de um fórum cibercriminoso de língua russa comenta sobre uma backdoor no ransomware desenvolvido pelo REvil. Foto: Advanced Intel.
Usuário de um fórum cibercriminoso de língua russa comenta sobre uma backdoor no ransomware desenvolvido pelo REvil. Foto: Advanced Intel.

Normalmente, uma operação de RaaS desenvolve e fornece (aluga) um malware do tipo ransomware para outros cibercriminosos interessados em atacar e infectar vítimas. O ransomware criptografa os dados da vítima e pede um valor pelo resgate deles. Normalmente, o valor desse resgate é dividido entre os desenvolvedores e o criminoso que infectou a vítima.

No entanto, o grupo REvil, conforme foi analisado por pesquisadores da Advanced Intel, pode estar enganando seus "clientes" e não permitindo que recebam a parcela do resgate, que normalmente é algo entre 70-80% do valor do resgate.

O chefe de pesquisa da Advanced Intel, Yelisey Boguslavskiy, revelou que em 2020, vários cibercriminosos que contrataram serviços de ransomware alegaram que os fornecedores estavam assumindo as negociações com as vítimas em bate papos secretos, sem o consentimento dos afiliados (clientes) e ficando com todo o pagamento.

Segundo Boguslavskiy, os administradores do REvil supostamente abriram um segundo chat, idêntico ao utilizado pelos afiliados para negociar um resgate com a vítima. Esse backdoor de comunicação direta com a vítima foi chamado de "cryptobackdoor" e só foi confirmado depois que a equipe de pesquisadores da Advanced Intel analisou as amostras do ransomware desenvolvido pelo REvil.

"Os especialistas [da Advanced Intel] analisaram as amostras do REvil publicadas recentemente e identificaram um backdoor que permite descriptografar estações de trabalho e arquivos [das vítimas infectadas]. Ao usar o backdoor, o REvil pode sequestrar o pagamento do resgate durante as negociações ativas com afiliados e obter o pagamento completo. O backdoor também permite descriptografar os arquivos secretamente", disse o pesquisador em uma publicação no LinkedIn.


Fontes: BleepingComputer; Yelisey Boguslavskiy.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.