Desenvolvedores de ransomware REvil adicionaram um backdoor para enganar afiliados

Views: 56
0 0
Read Time:4 Minute, 50 Second

Os cibercriminosos estão lentamente percebendo que os operadores de ransomware REvil podem estar sequestrando negociações de resgate, para cortar os afiliados dos pagamentos.

Ao usar um esquema criptográfico que lhes permitiu descriptografar quaisquer sistemas bloqueados pelo ransomware REvil, os operadores deixaram seus parceiros fora do acordo e roubaram todo o resgate.

Conversas sobre essa prática começaram há algum tempo em fóruns subterrâneos, em postagens de colaboradores da gangue, e foram confirmadas recentemente por pesquisadores de segurança e desenvolvedores de malware.

O ransomware REvil, também conhecido como Sodinokibi, surgiu no primeiro semestre de 2019 e construiu uma reputação como sucessor da operação GandCrab ransomware-as-a-service (RaaS).

O modelo de negócios cibercriminoso RaaS envolve um desenvolvedor, que cria o malware ransomware e configura a infraestrutura, e afiliados recrutados para violar e criptografar vítimas. O processo é dividido entre as duas partes, com afiliadas fazendo o corte maior (normalmente 70-80%).

Promovida por veteranos de fóruns subterrâneos, a gangue REvil desenvolveu uma operação privada altamente lucrativa que aceitava apenas hackers de rede experientes.

O nome do mal vai pelo ralo

Se a operação REvil começou como um empreendimento cibercriminoso “honesto”, logo mudou para enganar os afiliados da prometida participação de 70% de um resgate das vítimas pagantes.

Yelisey Boguslavskiy, chefe de pesquisa da Advanced Intel, disse à BleepingComputer que, desde pelo menos 2020, vários atores em fóruns subterrâneos alegaram que os operadores RaaS estavam assumindo negociações com vítimas em bate-papos secretos, sem o conhecimento das afiliadas.

O boato se tornou mais frequente após o desligamento repentino do ransomware DarkSide a saída de Avaddon, liberando as chaves de descriptografia para suas vítimas.

As conversas envolveram indivíduos que desempenharam um papel nos ataques de ransomware REvil, como parceiros que forneceram acesso à rede, serviços de teste de penetração, especialistas em VPN e possíveis afiliados.

Boguslavskiy diz que os administradores do REvil supostamente abriram um segundo bate-papo, idêntico ao usado por sua afiliada para negociar um resgate com a vítima.

Quando as negociações chegaram a um ponto crítico, REvil assumiria posando como a vítima saindo das negociações sem pagar o resgate, explicou Boguslavskiy ao BleepingComputer.

A gangue continuaria as conversas com a vítima e obteria o resgate total, com o afiliado não sendo o mais sábio.

Recentemente, essas alegações obtiveram mais substância, já que um engenheiro reverso de malware subterrâneo forneceu evidências das práticas de imersão dupla do REvil. Eles falam de uma “cryptobackdoor” nas amostras REvil que os operadores RaaS deram às afiliadas para implantar em redes de vítimas.

A revelação do autor vem depois que a empresa de segurança cibernética Bitdefender lançou uma ferramenta universal de descriptografia REvil que funciona para todas as vítimas criptografadas até 13 de julho de 2021.

O mal é chamado por usar descriptografia secundária para enganar os afiliados
fonte: Advanced Intel

Chave pública na imagem acima:

FF5EEDCAEDEE6250D488F0F04EFA4C957B557BDBDC0BBCA2BA1BB7A64D043A3D

O que o autor do post acima está dizendo é que os afiliados não foram os únicos que puderam descriptografar os sistemas que bloquearam com a amostra de ransomware REvil que receberam.

Os operadores REvil tinham uma chave mestra que podiam usar para restaurar arquivos criptografados.

Pesquisador revelou o truque em julho

Fabian Wosar, “matador de ransomware” por excelência e diretor de tecnologia da Emsisoft, no início de julho forneceu uma explicação clara de como o esquema criptográfico da REvil funcionou.

O sucessor do GandCrab usa em seu malware quatro conjuntos de chaves público-privadas responsáveis pelas tarefas de criptografia e descriptografia:

  1. Um par operador/mestre que tem a parte pública codificada em todas as amostras REvil
  2. Um par de campanhas, cuja parte pública é armazenada no arquivo de configuração do malware como um valor PK
  3. Um par específico do sistema – gerado ao criptografar a máquina, com a parte privada criptografada usando as chaves mestre e de campanha públicas
  4. Um par de chaves gerado para cada arquivo criptografado

“A chave de arquivo privada e a chave do sistema público são então usadas como entradas para ECDH usando Curve25519, a fim de gerar a chave Salsa20 (chamada de segredo compartilhado) que está sendo usada para realmente criptografar o conteúdo do arquivo”, explica Wosar.

A chave privada do sistema é essencial para desbloquear uma máquina porque é a única necessária para descriptografar arquivos individuais. Recuperá-lo é possível com a chave privada mestre – disponível apenas para operadores REvil, ou com a chave de campanha que os afiliados têm.

Wosar observa que a chave privada mestra é o seguro do REvil contra afiliados desonestos, permitindo que eles descriptografem qualquer vítima. Isso também é o que o Bitdefender usou para sua ferramenta de descriptografia REvil e provavelmente o que ajudou as vítimas de Kaseya a recuperar arquivos gratuitamente.

Para acessar o portal de pagamento REvil, o ator de ameaças de ransomware requer uma gota de dados presentes na nota de resgate. Essa sequência de caracteres aparentemente sem sentido inclui vários dados sobre a máquina, a campanha, a versão do malware usado e a chave privada do sistema.

Informações presentes no REvil key blob para o portal de pagamento
fonte: Fabian Wosar

Manter um ás na manga que dá aos operadores de ransomware controle total sobre a descriptografia de qualquer sistema bloqueado por seu malware é uma prática vista com outros grupos de ransomware mais recentes.

Boguslavskiy diz que havia rumores de que a gangue de ransomware DarkSide executaria sua operação da mesma maneira.

Depois de renomear o nome BlackMatter, o ator foi aberto sobre essa prática, informando a todos que reservavam seu direito de assumir as negociações a qualquer momento, sem explicar.

O engenheiro reverso e CEO de Inteligência Avançada Vitali Kremez disse à BleepingComputer que as amostras mais recentes do REvil, que surgiram quando a gangue reiniciou as operações, não têm mais a chave mestra que permitiu a descriptografia de qualquer sistema bloqueado com ransomware REvil.

FONTE: BLEEPING COMPUTER

Previous post Entenda porque o Facebook, Instagram e WhatsApp ficaram fora do ar
Next post Custos com cibersegurança devem crescer em 83% das empresas em 2022

Deixe um comentário