27/09/21
Партнеры операторов вымогательского ПО REvil на русскоязычном хакерском форуме потребовали от группировки расплатиться за украденную долю выкупа. ИБ-специалисты из компании Advanced Intelligence обнаружили бэкдор, который предположительно позволял операторам вымогательского ПО REvil перехватывать чаты их партнеров и жертв и получать всю сумму выплаченного выкупа.
Когда партнер вымогателей взламывает сеть и пытается обеспечить персистентность на системе, операторы REvil передают партнеру полезную нагрузку для заражения сети и шифрования данных. Если жертва платит выкуп, партнерская группировка получает 70% от этой суммы за выполнение всей работы по компрометации сети, краже данных и шифрованию. Участники REvil получают оставшиеся 30% в обмен на предоставление программ-вымогателей, которые партнеры используют для перехвата контроля над данными и системами жертв.
Но когда переговоры неожиданно загадочным образом проваливаются и партнеры остаются ни с чем, у них возникают подозрения и они обращаются к подпольной версии судей.
Как сообщил ресурс Threatpost, один из участников русскоязычного хакерского форума Exploit использовал результаты отчета Advanced Intelligence для возобновления претензий, предъявленных в мае нынешнего года группировке REvil. Хакер повторил заявление от мая 2021 года на форуме Exploit, подтвердив предположение AdvIntel — операторы REvil действительно создали бэкдор, позволивший прерывать переговоры о выкупе между жертвами и партнерами, запускать двойной чат и исключать из сделки партнеров, присваивая себе весь выкуп.
По словам специалистов, не только обиженный партнер подтвердил обман со стороны REvil. Представитель группировки LockBit также присоединился к дискуссии и рассказал о бывших партнерах REvil, обманутых вымогателями.
Как предполагают эксперты, подтверждение обмана партнеров REvil приведет к тому, что группировку будут избегать в киберпреступном сообществе, а ее способность нанимать новых партнеров сильно ослабеет.
