Ransomwarebende REvil zou achterpoortjes in de eigen software hebben zitten, die het mogelijk maakte om onderhandelingen met slachtoffers over te nemen.
Cybercriminelen zijn niet te vertrouwen. Misschien geen groot nieuws, maar wel ontstellend voor enkele bendes die samenwerkten met de ontwikkelaars van ransomware REvil. De ransomwarebende zou achterpoortjes in de eigen software hebben gestoken om naar believen losgeldonderhandelingen over te nemen en zelf het geld in te pikken.
Een functie in de software zou hen toelaten zelf eender welk systeem te ontsleutelen dat door REvil ransomware was vastgezet. Een en ander moet blijken uit postjes die op fora worden gezet door mensen die samenwerken met de bende. De geruchten worden ook bevestigd door security-onderzoekers, schrijft techsite BleepingComputer.
Zakenmodel
REvil is de ransomware die onder meer gebruikt werd in de Kaseya-aanval die meer dan duizend bedrijven trof. De software zat ook achter aanvallen op onder meer een wapenfabrikant en een groot vleesverwerkend bedrijf aan. Interessant hier is het zakenmodel van veel ransomware, dat steeds vaker neigt naar meer klassieke leveranciersdiensten. Ontwikkelaars gaan hun software bijvoorbeeld aan de man brengen als ‘Ransomware-as-a-Service’. Ze bouwen de malware en zorgen voor de infrastructuur, terwijl gespecialiseerde bendes het eigenlijke inbreken en afpersen voor hun rekening nemen. Die tweede partij krijgt daarbij meestal een groter deel van de buit, zo’n 70 à 80 procent, aldus BleepingComputer.
Volgens Yelisey Boguslavskiy, researcher bij securitybedrijf Advanced Intel, klagen meerdere criminelen erover dat de eigenlijke operatoren van de RaaS de onderhandelingen met slachtoffers al enkele keren hebben overgenomen, zonder dat de collega-criminelen – de afnemers van de malware, zeg maar – daarvan op de hoogte warden gebracht. REvil zou daarbij een tweede conversatie met het slachtoffer starten om over losgeld te onderhandelen. Tegenover de collega-criminelen deed REvil zich vervolgens voor als het slachtoffer, dat besloot om niet in te gaan op de vraag naar losgeld. Zo wisten de afnemers van de RaaS niet altijd dat ze belazerd werden.
De geruchten krijgen bijval van onderzoekers die de ransomware analyseerden en er een achterpoortje in vonden. Dat geeft REvil zelf een loper of hoofdsleutel, een manier om de bestanden van slachtoffers te ontsleutelen, los van de afnemer van de RaaS. Het zou ook die ‘loper’ geweest zijn die de basis is van enkele universele decryptors die sindsdien zijn vrijgegeven, waaronder die van BitDefender.
Fout opgemerkt of meer nieuws? Meld het hier