Разработчики программ-вымогателей REVil добавили бэкдор для обмана аффилированных лиц

31
Хакер продает данные миллионов московских водителей за 800 долларов

Киберпреступники постепенно осознают, что операторы программ-вымогателей REvil, возможно, занимались переговорами о выкупе, чтобы отрезать филиалы от платежей.

Используя криптографическую схему, которая позволила им расшифровать любые системы, заблокированные программой-вымогателем REvil, операторы оставили своих партнеров вне сделки и украли весь выкуп.

Разговоры об этой практике начались некоторое время назад на подпольных форумах, в сообщениях от сотрудников банды, и недавно были подтверждены исследователями безопасности и разработчиками вредоносных программ.

Программа-вымогатель REvil, также известная как Sodinokibi, появилась в первой половине 2019 года и заработала репутацию преемника операции GandCrab ransomware-as-a-service (RaaS).

Бизнес-модель киберпреступников RaaS включает в себя разработчика, который создает вредоносные программы-вымогатели и настраивает инфраструктуру, а также аффилированные лица, нанятые для взлома и шифрования жертв. Судебное разбирательство делится между двумя сторонами, а аффилированные лица получают большую долю (обычно 70-80%).

Поддерживаемая ветеранами подпольных форумов, банда REvil разработала высокодоходную частную операцию , в которую допускались только опытные хакеры.

Имя REvil идет насмарку

Если операция REvil начиналась как «честная» попытка киберпреступников, вскоре она перешла на аффилированные лица мошенничества из обещанной 70% доли выкупа, выплачиваемой жертвам.

Елисей Богуславский , руководитель отдела исследований Advanced Intel, сказал BleepingComputer, что как минимум с 2020 года различные участники подпольных форумов утверждали, что операторы RaaS вели переговоры с жертвами в секретных чатах без ведома аффилированных лиц.

Слух стал более частым после внезапного закрытия программы- вымогателя DarkSide и выхода Аваддона, выпустившего ключи дешифрования для своих жертв.

В разговоре участвовали люди, которые сыграли роль в атаках программ-вымогателей REvil, например партнеры, предоставляющие доступ к сети, услуги тестирования на проникновение, специалисты по VPN и потенциальные аффилированные лица.

Богуславский говорит, что администраторы REvil открывают второй чат, идентичный тому, который используется их партнером для переговоров с жертвой о выкупе.

Когда переговоры доходили до критической точки, REvil вступал во владение, изображая из себя жертву, прекращающую переговоры, не заплатив выкуп, объяснил Богуславский.

Банда продолжит переговоры с жертвой и получит полный выкуп, при этом партнерша не станет мудрее.

В последнее время эти утверждения стали более обоснованными, поскольку подпольный реверс-инженер вредоносных программ предоставил доказательства того, что REvil применяет двойные методы. Они говорят о «криптобэкдоре» в образцах REvil, которые операторы RaaS предоставили филиалам для развертывания в сетях жертв.

Открытие автора произошло после того, как компания по кибербезопасности Bitdefender выпустила универсальный инструмент дешифрования REvil, который работает для всех зашифрованных жертв до 13 июля 2021 года.

Исследователь раскрыл трюк в июле

Фабиан Восар, по преимуществу «убийца программ-вымогателей» и технический директор Emsisoft, в начале июля дал четкое объяснение того, как работает криптографическая схема REvil.

Преемник GandCrab использует в своем вредоносном ПО четыре набора открытых и закрытых ключей, отвечающих за задачи шифрования и дешифрования:

  1. Пара оператор/мастер, публичная часть которой жестко запрограммирована во всех образцах REvil.
  2. Пара кампаний, публичная часть которой хранится в файле конфигурации вредоносной программы как значение PK.
  3. Специфическая для системы пара — генерируется при шифровании машины, при этом закрытая часть зашифрована с использованием как общедоступного главного ключа, так и ключа кампании.
  4. Пара ключей, созданная для каждого зашифрованного файла.

«Затем закрытый ключ файла и открытый системный ключ используются в качестве входных данных для ECDH с помощью Curve25519, чтобы сгенерировать ключ Salsa20 (называемый общим секретом), который используется для фактического шифрования содержимого файла», — объясняет Восар.

Системный закрытый ключ необходим для разблокировки машины, потому что это единственный ключ, необходимый для расшифровки отдельных файлов. Восстановить его можно либо с помощью главного закрытого ключа, доступного только операторам REvil, либо с помощью ключа кампании, который есть у аффилированных лиц.

Wosar отмечает, что главный закрытый ключ является страховкой REvil от мошеннических филиалов, позволяя им расшифровать любую жертву. Это также то, что Bitdefender использовал для своего инструмента дешифрования REvil и, вероятно, помогал жертвам Kaseya бесплатно восстанавливать файлы.

Чтобы получить доступ к платежному порталу REvil, злоумышленнику требуется блок данных, содержащийся в записке с требованием выкупа. Эта строка явно бессмысленных символов включает в себя различные данные о машине, кампании, версии используемой вредоносной программы и секретном ключе системы.

Наличие козыря в рукаве, которое дает операторам программ-вымогателей полный контроль над расшифровкой любой системы, заблокированной их вредоносным ПО, является практикой, наблюдаемой в других, более новых группах программ-вымогателей.

Богуславский говорит, что, по слухам, банда вымогателей DarkSide проводила свою деятельность таким же образом.

После ребрендинга на BlackMatter актер открыто рассказывал об этой практике, давая всем понять, что они оставляют за собой право вести переговоры в любой момент без объяснения причин.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here