Спецпроекты

Безопасность Бизнес

Хакерское сообщество негодует. Деньги их жертв утекают авторам арендуемого ими шифровальщика

Растет количество обвинений в адрес группировки REvil в том, что она переключает на себя переговоры с жертвами своих партнеров, оставляя тех без заработка. Эксперты считают, что в этом нет ничего удивительного.

Комиссия 30% процентов

Шифровальная группировка REvil, судя по многочисленным жалобам на хакерских форумах, активно обманывает собственных партнеров, лишая их заработка.

REvil долгое время работали по модели Ransomware-as-a-Service (шифровальщик как услуга), в рамках которой сторонние партнеры производили непосредственные атаки и заражения, после чего вели переговоры с жертвами о выкупе. В случае успеха партнеры оставляли себе большую часть заработка, выплачивая 30% создателям REvil.

Однако сейчас, после неожиданного «возвращения из мертвых» группировка REvil, похоже, поменяла тактику. Исследователи по безопасности компании AdvIntel, изучив новые вредоносные сэмплы, обнаружили в них подобие бэкдора, который позволяет перехватывать контроль над зашифрованными партнерами системами. Более того, отмечены «дублирующие чаты».

REvil, группировка, ответственная за ряд громких атак, временно свернула деятельность в середине июля 2021 г., отключив всю свою инфраструктуру. Однако уже в начале сентября REvil снова активировалась и принялась за новых жертв. Предположения о том, что ее инфраструктура сменила владельцев, пока ничем не подтверждаются.

Зачем нам лишние партнеры

Исследователи предполагают, что операторы REvil вклиниваются в переписку партнеров с жертвами, от имени последних сообщают первым об отказе платить, а затем договариваются с жертвами о сделке, оставляя 100% прибыли себе. Прямых доказательств этому у AdvIntel нет, однако эксперты другой фирмы — Flashpoint — утверждают, что видели на русскоязычном хакерском форуме Exploit активные обсуждения деятельности REvil, где группировку обвиняют в регулярном обмане своих партнеров.

hak600.jpg
Группировку REvil обвиняют в том, что она «кидает» партнеров

Впрочем, в подтверждение этого Flashpoint публикует скриншот, содержание которого (на русском языке) никакого отношения к обвинениям против REvil не имеет. Там лишь обсуждается код шифровальщика.

Публикации Flashpoint недоступны из России без использования Tor или анонимайзеров.

«В том, что киберпреступники, что называется, “кидают” друг друга, нет ничего удивительного и неожиданного, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Криминал есть криминал во всем; совершенно закономерно, что друг к другу его деятели относятся без малейшего пиетета. Другое дело, что REvil таким образом рискует растерять всех своих партнеров. Но, судя по текущему поведению, это их мало волнует, пока есть заработок».

Роман Георгиев

Короткая ссылка