Los ciberdelincuentes que alquilan servicios de ransomware para extorsionar a las víctimas pueden estar siendo robados por los mismos grupos que proporcionan las herramientas a los ciberdelincuentes en el modelo Ransomware-as-a-Service (RaaS).
Según BleepingComputer, las conversaciones en foros de ciberdelincuentes en la web oscura indican que se desarrollaron operadores del ransomware REvil, uno de los proveedores de RaaS más destacados (con víctimas como JBS, Acer, TJ-RS, Light, Grupo Fleury, Gigaset, entre otros). el malware con una puerta trasera que le permite negociar y recibir el pago directamente de la víctima, sin pagar la comisión del contratista.
Normalmente, una operación RaaS desarrolla y entrega (arrienda) malware similar al ransomware a otros ciberdelincuentes interesados en atacar e infectar a las víctimas. El ransomware cifra los datos de la víctima y solicita un valor para rescatarlos. Normalmente, el valor de este rescate se divide entre los desarrolladores y el delincuente que infectó a la víctima.
No obstante, el grupo REvil, según lo analizado por investigadores de Advanced Intel, puede estar engañando a sus “clientes” y no permitirles que reciban la parte del rescate, que suele estar entre el 70 y el 80% del valor del rescate.
La jefa de investigación de Advanced Intel, Yelisey Boguslavskiy, reveló que en 2020, varios ciberdelincuentes que contrataron servicios de ransomware afirmaron que los proveedores se estaban haciendo cargo de las negociaciones con las víctimas en chats secretos, sin el consentimiento de los afiliados (clientes) y obteniendo todo el pago.
Según Boguslavskiy, los administradores de REvil supuestamente abrieron un segundo chat, idéntico al utilizado por los afiliados para negociar un rescate con la víctima. Esta puerta trasera de comunicación directa con la víctima se denominó “puerta trasera criptográfica” y solo se confirmó después de que el equipo de investigación de Advanced Intel analizó las muestras de ransomware desarrolladas por REvil.
“Los especialistas analizaron las muestras de REvil publicadas recientemente y han identificado una puerta trasera que le permite descifrar estaciones de trabajo y archivos. Al usar la puerta trasera, REvil puede secuestrar el pago del rescate durante el comercio activo con afiliados y obtener el pago completo. La puerta trasera también le permite Descifrar archivos en secreto ”, dijo el investigador en una publicación en LinkedIn.
Fuentes: BleepingComputer; Yelisey Boguslavskiy, TheHack.
