in

La puerta trasera secreta supuestamente permite que la pandilla de ransomware REvil defraude a sus socios


REvil es uno de los grupos de ransomware más notorios del mundo.

REvil, también conocido como Sodin y Sodinokibi, se ha hecho un nombre al extorsionar grandes cantidades de dinero de las empresas y operar como un modelo de negocio de ransomware-as-a-service (RAAS) en el que comparte sus ganancias con afiliados. en redes y negociar con las víctimas en nombre del grupo.

Pero ahora hay informes de que una puerta trasera secreta en el código del ransomware permite al grupo robar el dinero del rescate ante las narices de sus socios.

Sé. Impactante, ¿no es así? ¿Quién hubiera pensado que no se podía confiar en que una banda de ciberdelincuentes actuara éticamente cuando trataba con otros ciberdelincuentes?

Los investigadores de Flashpoint dicen que han encontrado evidencia de que no todo es color de rosa entre REvil y sus socios.

A principios de este mes, un hacker llamado Signature supuestamente publicó detalles de una «puerta trasera criptográfica» secreta en el código de REvil en un foro ruso utilizado por la clandestinidad criminal. Según los investigadores, «el código de puerta trasera de REvil permite a REvil restaurar archivos cifrados por sí mismo, sin la participación de los socios contratados originalmente».

Además, se afirma que la puerta trasera permite al grupo REvil hacerse cargo de las negociaciones con una víctima de ransomware: bloquear al socio e incluso restaurar archivos cifrados sin el consentimiento del socio.

De hecho, Signature afirma que REvil saltó por la puerta trasera a una negociación (conocida como un chat de «atención al cliente») y se hizo pasar por una víctima, terminando abruptamente un intento de extorsionar $ 7 millones. Signature cree que uno de los operadores de REvil hizo las negociaciones y se llevó el dinero.

Se dice que otras subsidiarias del Grupo REvil tienen preocupaciones y sospechas similares.

Corríjame ahora si me equivoco, pero esta no parece una buena manera de administrar un negocio de ransomware como servicio, ya que es muy probable que sus socios estén molestos y no estén dispuestos a trabajar con usted en el futuro, si así lo desean. se están quedando fuera de sus bolsillos.

La noticia llega en medio de las crecientes tensiones en el inframundo del ransomware, después de una serie de ataques de alto perfil que han atraído más que nunca antes las investigaciones policiales.

Desafortunadamente, nada de esto facilita la vida a las empresas que intentan protegerse de los delincuentes ransomware. Los delincuentes luchan entre sí, pero eso no significa que pueda estar en guardia sobre la mejor manera de proteger su empresa de los ataques de ransomware.


Nota del editor: Las opiniones expresadas en este artículo de autor invitado pertenecen únicamente al colaborador y no reflejan necesariamente las de Tripwire, Inc.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

El nuevo error de Azure AD permite a los piratas informáticos utilizar contraseñas de fuerza bruta sin que los atrapen

Tenga cuidado con los Apple AirTags envenenados que aprovechan los errores sin parchear en el «Modo Perdido»