Os cibercriminosos que alugam serviços de ransomware para extorquir vítimas podem estar sendo roubados pelos próprios grupos que fornecem as ferramentas aos cibercriminosos no modelo Ransomware-as-a-Service (RaaS).
De acordo com BleepingComputer, conversas em fóruns cibercriminosos na dark web indicam que os operadores do ransomware REvil, um dos provedores de RaaS mais proeminentes (com vítimas como JBS, Acer, TJ-RS, Light, Grupo Fleury, Gigaset, entre outros) desenvolveram o malware com um backdoor que permite negociar e receber o pagamento diretamente da vítima, sem pagar a comissão do contratante.
Normalmente, uma operação RaaS desenvolve e entrega (aluga) malware semelhante a ransomware para outros cibercriminosos interessados em atacar e infectar as vítimas. O ransomware criptografa os dados da vítima e pede um valor para resgatá-los. Normalmente, o valor desse resgate é dividido entre os desenvolvedores e o criminoso que infectou a vítima.
No entanto, o grupo REvil, conforme analisado por pesquisadores da Advanced Intel, pode estar enganando seus “clientes” e não permitindo que eles recebam a parcela do resgate, que normalmente é algo entre 70-80% do valor do resgate.
O chefe de pesquisa da Advanced Intel, Yelisey Boguslavskiy, revelou que em 2020, vários cibercriminosos que contrataram serviços de ransomware alegaram que os fornecedores estavam assumindo negociações com as vítimas em bate-papos secretos, sem o consentimento dos afiliados (clientes) e recebendo todo o pagamento.
Segundo Boguslavskiy, os administradores do REvil supostamente abriram um segundo chat, idêntico ao usado pelos afiliados para negociar um resgate com a vítima. Esse backdoor de comunicação direta com a vítima foi chamado de “cryptobackdoor” e só foi confirmado depois que a equipe de pesquisa da Advanced Intel analisou as amostras de ransomware desenvolvidas por REvil.
“Os especialistas analisaram as amostras REvil publicadas recentemente e identificaram um backdoor que permite descriptografar estações de trabalho e arquivos. Ao usar o backdoor, REvil pode sequestrar o pagamento do resgate durante a negociação ativa com afiliados e obter o pagamento integral. O backdoor também permite que você descriptografar arquivos secretamente ”, disse o pesquisador em publicação no LinkedIn.
Fontes: BleepingComputer; Yelisey Boguslavskiy, TheHack.