Cybercriminals, revil fidye yazılımı operatörlerinin fidye müzakerelerinin kaçırılması, iştirakleri ödemelerden kaçırdığını fark eder.
Revil Ransomware tarafından kilitlenen herhangi bir sistemin şifresini çözmelerine izin veren bir şifreleme şeması kullanarak, operatörler ortaklarını anlaşma dışı bıraktı ve tüm fidye çaldı.
Bu uygulama ile ilgili konuşmalar, bir süre önce yeraltı forumlarında, çetenin işbirlikçilerinden yapılan direklerde ve son zamanlarda güvenlik araştırmacıları ve kötü amaçlı yazılım geliştiriciler tarafından onaylanmıştır.
Sodinokibi olarak da bilinen Revil Ransomware, 2019'un ilk yarısında ortaya çıktı ve Gandcrab Ransomware-AS-AS-Service (RAA'lar) operasyonunun halefi olarak ün kazandı.
RAA'lı Cybercriminal İş Modeli, Ransomware kötü amaçlı yazılımını yaratan ve altyapıyı oluşturan ve mağdurları ihlal etmek ve şifrelemek için iştirakleri oluşturan bir geliştiriciyi içerir. Yargılamalar, iki taraf arasında daha büyük kesime (genellikle% 70-80) alarak ayrılmıştır.
Yeraltı forumlarının gazileri tarafından desteklenen Revil Gang, yalnızca deneyimli ağ bilgisayar korsanlarını kabul eden oldukça kazançlı bir özel operasyon geliştirdi.
Eğer tekrar operasyon "dürüst" bir cybercriminal çaba olarak başladıysa, kısa süre sonra vaat edilen% 70'lik bir fidye payının vaat edilen% 70 payını mağdurlardan ödeyerek dolandırıcılığına geçti.
Yelisey Boguslavskiy, Gelişmiş Intel'deki Araştırma Başkanı, BleepingComputer'a, Yeraltı Forumları'ndaki en az 2020 farklı aktörün RAA'ların operatörlerinin Gizli Sohbetlerdeki mağdurlarla müzakereleri devredildiğini iddia ettiğini söyledi.
Söylenti, kararsız fidye yazılımının ani kapatılmasından sonra, mağdurları için şifre çözme anahtarlarını serbest bırakarak avaddonun çıkışından daha sık hale geldi.
Sohbetler, ağ erişimi, penetrasyon test hizmetleri, VPN uzmanları ve potansiyel iştirakleri sağlayan ortaklar gibi tekrar Ransomware saldırılarında rol oynayan bireyler dahildir.
Boguslavskiy, tekrar tekrar yöneticinin, kurbanla bir fidye müzakere etmek için ortakları tarafından kullanılan biriyle aynı olan ikinci bir sohbet açtığını söylüyor.
Konuşmalar kritik bir noktaya ulaştığında, Ransom'a ödeme yapmadan müzakereleri bırakan mağdur olarak poz vererek, Boguslavskiy BleepingComputer'a açıklandı.
Çete, kurbanla görüşmelere devam edecekti ve bağrıların yanı sıra kimsenin değil.
Son zamanlarda, bu iddialar, bir yeraltı kötü amaçlı yazılım tersi mühendisi, tekrar çift daldırma uygulamalarının kanıtı sağladı. Raas operatörlerinin kurban ağlarına dağıtılması için iştiraklere verdiği üvey örneklerinde "Cryptobackdoor" dan bahsediyorlar.
Yazarın vahiyi Siber Güvenlik Şirketi BitDefender'ın 13 Temmuz 2021'e kadar şifrelenen tüm mağdurlar için çalışan evrensel bir yeniden şifre çözme aracı yayınladı.
Yukarıdaki resimdeki genel anahtar:
Yukarıdaki gönderinin yazarının söylediği şey, iştiraklerin, aldıkları ransomware örneği ile kilitlendikleri sistemlerin şifresini çözebilecek olanlar değildi.
Operatörler, şifreli dosyaları geri yüklemek için kullanabilecekleri bir ana anahtar vardı.
Fabian Wosar, "Ransomware Slayer" PAR Mükemmellik ve EMSISOFT'ta Baş Teknoloji Görevlisi, Temmuz ayının başlarında, kriptografik şemasının nasıl çalıştığı için net bir açıklama sağladı.
Gandcrab'ın halefi, kötü amaçlı yazılımında, şifreleme ve şifre çözme görevlerinden sorumlu olan dört kamu-özel anahtar kümelerinde kullanır:
Wosar, "Özel dosya anahtarı ve kamu sistemi anahtarı, Curve25519'u kullanarak Curve25519'u kullanarak ECDH için girişler olarak kullanılır. Wosar," Dosya içeriğini gerçekten şifrelemek için kullanılan salsa20 anahtarını (paylaşılan bir sır olarak adlandırılır), "
Sistem Özel Anahtarı, bir makinenin kilidini açmak için esastır, çünkü bireysel dosyaların şifresini çözmek için gereken tek kişidir. Kurtarma Master Özel Anahtar ile mümkündür - sadece tekrar operatörler veya iştiraklerin sahip olduğu kampanya anahtarı için kullanılabilir.
Wosar, ana özel anahtarın, Rogue Affiliates'e karşı üvezin sigortası olduğunu, herhangi bir kurbanın şifresini çözmelerine izin verdiğini belirtti. Bu aynı zamanda, BitDefender'ın tekrar şifre çözme aracı için kullandığı ve muhtemelen Kaseya kurbanlarının dosyaları ücretsiz olarak kurtarmasına yardımcı olan neyin var.
Revil ödeme portalına erişmek için, Ransomware Tehditi Aktör, Ransom Notunda bulunan bir veri bloğunu gerektirir. Görünüşe göre saçma sapan karakterlerin dizgisi, makine, kampanya, kullanılmış kötü amaçlı yazılımın sürümü ve sistem özel anahtarıyla ilgili çeşitli verileri içerir.
Bir ACE'yi, fidye yazılımı operatörlerini veren manşonlarını tutarak, kötü amaçlı yazılımları tarafından kilitlenen herhangi bir sistemin şifresini çözme konusunda toplam kontrolü, diğer, daha yeni Ransomware gruplarıyla görülen bir uygulamadır.
Boguslavskiy, Darkside Ransomware çetesinin operasyonlarını aynı şekilde çalıştırdığını söylüyor.
Blackmatter olarak yeniden tahsis edildikten sonra, aktör bu uygulama hakkında açıktı, herkesin açıklamadan müzakereleri herhangi bir noktada ele alma hakkını saklı tuttuklarını bildirdi.
Ters Mühendis ve İleri İstihbarat CEO'su Vitali Kremez, BleepingComputer'a, çete yeniden başlatıldığında ortaya çıkan en son tekrarlanan örneklerin, artık herhangi bir sistemin gerilemesi ile kilitlenmesini sağlayan ana anahtara sahip olmadıklarını söyledi.
Kaseya'nın evrensel tekrar şifre çözme anahtarı bir hack forumunda sızdırılmış
Free Revil Ransomware Master Decrypter geçmiş mağdurlar için serbest bırakıldı
Ransomware'deki hafta - 17 Eylül 2021 - Yeniden Şifrelendi
Ransomware çetesi, müzakereci işe alındığında şifre çözme anahtarını silmek için tehdit ediyor
Revil Ransomware tam saldırı moduna geri döndü ve verileri sızdırıyor
Kaynak: Bleeping Computer