In recente exemplaren van de REvil-ransomware is een backdoor aangetroffen waarmee de ransomwaregroep bestanden kan ontsleutelen. Mogelijk om zo partners op te lichten, zo stelt onderzoeker Yelisey Boguslavskiy van securitybedrijf Advanced Intelligence.
REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. REvil stelt dat partners zeventig procent van het losgeld krijgen.
Via de backdoor kan de REvil-groep de onderhandelingen met een slachtoffer overnemen en zo zeventig procent van het losgeld verkrijgen dat eigenlijk naar de partner had moeten gaan. Volgens Boguslavskiy heeft de REvil-groep in het verleden ook van dubbele chats gebruikgemaakt. Via de chat kunnen slachtoffers onderhandelden met de REvil-partner.
Op een belangrijk moment tijdens de onderhandeling wisselde de REvil-groep de chat van de partner, waarbij de REvil-groep zich voordeed als slachtoffer en de onderhandelingen zonder te betalen stopte. Aan de andere kant zette de REvil-groep de chat met het echte slachtoffer voort en kon zo het volledige losgeld opstrijken, aldus de onderzoeker.
Boguslavskiy stelt in een LinkedIn-bericht dat de nu ontdekte backdoor mogelijk een zelfde doel dient, aangezien het de mogelijkheid biedt om bestanden te ontsleutelen als de onderhandelingen zijn afgerond. In de nieuwste exemplaren is de backdoor echter weer verwijderd. Mogelijk is dit gedaan om te voorkomen dat bijvoorbeeld securityteams of beveiligingsonderzoekers bestanden ontsleutelen.
Recentelijk presenteerde antivirusbedrijf Bitdefender een gratis decryptietool voor alle REvil-slachtoffers tot 13 juli van dit jaar. Boguslavskiy laat tegenover Threatpost weten dat criminelen nu denken dat de virusbestrijder de backdoorsleutel heeft bemachtigd die het voor de decryptietool gebruikte. Bitdefender stelde dat het samen met een niet nader genoemde opsporingsdienst de decryptietool heeft ontwikkeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.