Ransomware REvil é acusado de enganar os próprios afiliados

A ameaça REvil surgiu em 2019 e tem atuação global, tendo como vítimas empresas de diversos segmentos. No entanto, pesquisadores de segurança da Flashpoint afirmam que o ransomware conta com uma “porta dos fundos” secreta que pode fazer com que o grupo por trás da ameaça roube dinheiro de seus afiliados.

Na semana passada, um usuário não identificado compartilhou evidências sobre isso no fórum russo Exploit. Na publicação, ele alegou que o REvil estava usando a “porta dos fundos” como meio para roubar seus afiliados depois de obrigá-los a fazer o trabalho pesado de comprometer e infectar a vítima.

O que os operadores do REvil faziam era interromper as negociações de seus afiliados, que estavam negociando com as vítimas após “sequestrarem” seus dados, e assumir o negócio, ficando com todo o dinheiro.

A revelação levou outro ator de ameaça, chamado de Signature, a rever alguns conceitos de abordagem. Além dele, outras ameaças demonstraram que entraram em conversa para compartilhar seu descontentamento com o REvil.

“As consequências subsequentes dentro da comunidade de agentes de ameaças oferecem às próprias organizações e indivíduos a quem eles direcionam uma janela para os tipos de conversas importantes que podem surgir no submundo do crime cibernético”, afirma a empresa de segurança sobre a conversa.

De acordo com relatos dos pesquisadores da Flashpoint, representantes de outros ransomwares chegaram ao ponto de compartilhar suas suspeitas relacionadas ao REvil.

Via: TechRadar