У операторов REvil была возможность обворовывать своих партнеров

ИБ-специалисты из компании Advanced Intelligence обнаружили бэкдор, который предположительно позволял операторам вымогательского REvil перехватывать чаты их партнеров и жертв и получать всю сумму выплаченного выкупа.

Когда партнер вымогателей взламывает сеть и пытается установить персистентность на системе, операторы REvil передают партнеру полезную нагрузку для заражения сети и шифрования данных. Если жертва платит выкуп, партнерская группировка получает 70% от этой суммы за выполнение всей работы по компрометации сети, краже данных и шифрованию. Участники REvil получают оставшиеся 30% в обмен на предоставление программ-вымогателей, которые партнеры используют для перехвата контроля над данными и системами жертв.

Однако если бы группировка REvil решила обмануть партнеров, то в таком случае она получила всю сумму выплаты — 70% партнера в дополнение к своим 30%.

«Используя данный бэкдор, REvil могла перехватить беседы жертв во время активных переговоров с партнерами и получить 70% выкупа, предназначенные партнерам», — пояснили эксперты.

Специалисты Advanced Intelligence уже знали, что REvil использует двойные чаты. В таких случаях с жертвой открываются два идентичных чата, один — партнерской группировкой, а другой — операторами REvil. У ИБ-экспертов нет свидетельств того, что руководство REvil использовало бэкдор для прекращения партнерского чата, выдавая себя за жертву, которая решила прекратить переговоры без платы выкупа, а затем продолжало переговоры с жертвой для получения 100% дохода. Однако двойные чаты и существование бэкдора указывают на готовность REvil осуществлять подобные махинации.

Как обнаружили специалисты, бэкдор был удален в последних версиях вымогательского ПО REvil после того, как группировка отключила свои серверы в июле нынешнего года. Преступники переработали вредоносное ПО, предположительно для «предотвращения использования бэкдора против новых жертв бывшими участниками REvil, у которых есть доступ к бэкдору».