Les cybercriminels réalisent peu à peu que les exploitants du ransomware REvil ont peut-être détourné les négociations de rançon afin de priver les affiliés des paiements.En utilisant un schéma cryptographique qui leur permettait de décrypter tous les systèmes verrouillés par le ransomware REvil, les opérateurs ont laissé leurs partenaires en dehors de l'accord et ont volé la totalité de la rançon.
Des conversations sur cette pratique ont commencé il y a quelque temps sur des forums clandestins, dans des messages de collaborateurs du gang, et ont été confirmées récemment par des chercheurs en sécurité et par des développeurs de logiciels malveillants.
Le ransomware REvil, également connu sous le nom de Sodinokibi, est apparu au premier semestre 2019 et s'est forgé une réputation de successeur de l'opération GandCrab ransomware-as-a-service (RaaS).
Le modèle économique cybercriminel RaaS implique un développeur, qui crée le malware ransomware et met en place l'infrastructure, et des affiliés recrutés pour pirater et chiffrer les victimes. Les recettes sont réparties entre les deux parties, les affiliés prenant la plus grande part (généralement 70 à 80 %).
Le nom REvil tombe à l'eau
Si l'opération REvil a commencé comme une entreprise cybercriminelle "honnête", elle s'est rapidement orientée vers l'escroquerie des affiliés, qui n'ont pas reçu la part promise de 70 % de la rançon versée par les victimes.
Yelisey Boguslavskiy, responsable de la recherche chez Advanced Intel, a déclaré que depuis au moins 2020, divers acteurs sur des forums clandestins ont affirmé que les opérateurs RaaS prenaient en charge les négociations avec les victimes dans des chats secrets, à l'insu des affiliés.
La rumeur est devenue plus fréquente après l'arrêt soudain du ransomware DarkSide et la sortie d'Avaddon en libérant les clés de décryptage pour leurs victimes.
Les conversations impliquaient des personnes ayant joué un rôle dans les attaques de ransomware REvil, comme des partenaires ayant fourni un accès au réseau, des services de tests de pénétration, des spécialistes VPN et des affiliés potentiels.
Selon M. Boguslavskiy, les administrateurs de REvil auraient ouvert un second chat, identique à celui utilisé par leur affilié pour négocier une rançon avec la victime.
Récemment, ces affirmations ont pris de l'ampleur lorsqu'un ingénieur inverseur de logiciels malveillants clandestins a fourni des preuves des pratiques de double rémunération de REvil. Il parle d'une "cryptobackdoor" dans les échantillons de REvil que les opérateurs RaaS donnaient aux affiliés pour qu'ils les déploient sur les réseaux des victimes.
La révélation de l'auteur intervient après que la société de cybersécurité Bitdefender a publié un outil de décryptage universel de REvil qui fonctionne pour toutes les victimes cryptées jusqu'au 13 juillet 2021.
Selon M. Boguslavskiy, la rumeur veut que le gang de ransomware DarkSide mène ses opérations de la même manière.
Après s'être rebaptisé BlackMatter, l'acteur s'est montré ouvert à cette pratique, faisant savoir à tous qu'il se réservait le droit de reprendre les négociations à tout moment, sans donner d'explications.
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Une astuce de cyberdéfense qui bloquerait les cybercriminels russes : installer un clavier virtuel en russe Le gang REvil est à l'origine de l'attaque au rançongiciel contre le fournisseur de viande JBS, ces pirates utilisent des tactiques de haute pression pour escroquer leurs victimes 81 % des attaques au mobile financier seraient des ransomwares, selon un nouveau rapport d'Atlas VPN