El backdoor secreto permite supuestamente que la banda de ransomware REvil estafe a sus propios afiliados
REvil es uno de los grupos de ransomware más notorios del mundo.
También conocido como Sodin y Sodinokibi, REvil se ha hecho un nombre extorsionando grandes cantidades de dinero a las empresas, operando como un modelo comercial de ransomware como servicio (RAAS) que lo ve compartir sus ganancias con afiliados que irrumpen en las redes y negociar con las víctimas en nombre del grupo.
Pero ahora hay informes de que una puerta trasera secreta en el código del ransomware permite al grupo robar las ganancias del rescate en las narices de sus afiliados.
Sé. Impactante, ¿no? ¿Quién hubiera imaginado que no se podía confiar en una banda de ciberdelincuentes para actuar éticamente al tratar con otros ciberdelincuentes?
Investigadores en Flashpoint dicen que han descubierto pruebas que no todo es color de rosa entre REvil y sus afiliados.
A principios de este mes, se dice que un pirata informático llamado Signature publicó detalles de una «puerta trasera criptográfica» secreta en el código de REvil en un foro ruso utilizado por la clandestinidad criminal. Según los investigadores, «el código de puerta trasera permite a REvil la capacidad de restaurar archivos cifrados por sí mismo, sin la participación de los afiliados que contrató originalmente».
Además, se afirma que la puerta trasera permite al grupo REvil hacerse cargo de las negociaciones con una víctima de ransomware, eliminando al afiliado e incluso restaurando archivos cifrados sin la aprobación de su socio.
De hecho, Signature afirma que REvil entró en una negociación (conocida como un chat de «atención al cliente») a través de la puerta trasera y, haciéndose pasar por una víctima, terminó abruptamente un intento de extorsionar $ 7 millones. Signature cree que uno de los operadores de REvil se hizo cargo de la negociación real y se quedó con el dinero.
Se dice que otros afiliados del grupo REvil tienen preocupaciones y sospechas similares.
Ahora corríjame si me equivoco, pero eso no parece una buena manera de administrar un negocio de Ransomware-As-A-Service, ya que es muy probable que deje a sus afiliados descontentos y sin ganas de trabajar con usted en el futuro si sienten que se van a quedar sin dinero.
La noticia llega en medio de las crecientes tensiones en el submundo del ransomware, luego de una serie de ataques de alto perfil que han provocado un mayor escrutinio que nunca por parte de las fuerzas del orden.
Desafortunadamente, nada de esto hace la vida más fácil para las empresas que intentan protegerse contra los delincuentes ransomware. Los delincuentes pueden estar peleando entre ellos, pero eso no significa que pueda bajar la guardia sobre cómo debe proteger mejor a su empresa de los ataques de ransomware.