🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Los desarrolladores del célebre ransomware REvil engañaban a sus afiliados

Los ciberdelincuentes se están dando cuenta lentamente de que los operadores del ransomware REvil los engañaron. Los desarrolladores del notorio ransomware estuvieron secuestrando las negociaciones de rescate para no pagarle a los afiliados su parte del trato

Al utilizar un esquema de cifrado que les permitió descifrar cualquier sistema bloqueado por el ransomware REvil, los operadores dejaron a sus socios fuera del trato y robaban todo el rescate.

Las conversaciones sobre esta práctica comenzaron hace un tiempo en foros clandestinos y en publicaciones de colaboradores de la banda. Sin embargo, estas sospechas han sido confirmadas recientemente por investigadores de seguridad y por desarrolladores del malware.

El ransomware REvil, también conocido como Sodinokibi, surgió en la primera mitad de 2019. Rápidamente se ganó la reputación de sucesor de la banda de ransomware como servicio (RaaS) GandCrab.

El modelo de negocio de RaaS de los ciberdelincuentes involucra a un desarrollador, que crea el malware ransomware y configura la infraestructura. Asimismo, están los afiliados que son reclutados para vulnerar y cifrar a las víctimas. Los procedimientos se dividen entre las dos partes y los afiliados se llevan la parte más grande (por lo general, entre el 70% y el 80%). 

Promovida por veteranos de foros clandestinos, la banda REvil desarrolló una operación privada muy lucrativa que solo aceptaba ciberdelincuentes experimentados.

REvil manchó su “reputación”

Si la banda REvil comenzó como un esfuerzo ciberdelincuente “honesto”, pronto cambió sus objetivos. La banda comenzó a estafar a los afiliados con la parte prometida del 70% de un rescate de las víctimas que pagaban.

Yelisey Boguslavskiy, jefa de investigación de Advanced Intel dijo que desde al menos 2020 varios actores en foros clandestinos afirmaron que los operadores del ransomware estaban asumiendo las negociaciones con las víctimas en chats secretos. Es decir, sin el conocimiento de los afiliados.

El rumor se hizo más frecuente después del cierre repentino del ransomware DarkSide. Asimismo, por la retirada de Avaddon al liberar las claves de descifrado para sus víctimas.

Las conversaciones involucraron a personas que desempeñaron un papel en los ataques del ransomware REvil. Por ejemplo, socios que proporcionaron acceso a la red, servicios de prueba de penetración, especialistas en VPN y posibles afiliados.

Boguslavskiy dice que, según los informes, los administradores de REvil abrieron un segundo chat. Este era un chat idéntico al que utilizaban sus afiliados para negociar un rescate con la víctima.

Cuando las conversaciones llegaban a un punto crítico, REvil tomaba el control haciéndose pasar por la víctima que abandonaba las negociaciones sin pagar el rescate.

La banda continuaba las conversaciones con la víctima y obtenía el rescate completo sin que el afiliado se enterara.

Recientemente, estas afirmaciones adquirieron más valor ya que una ingeniería inversa del ransomware proporcionó evidencia de las prácticas fraudulentas de REvil. Hablan de una “puerta trasera criptográfica” en las muestras de REvil que los operadores del ransomware dieron a los afiliados para implementar en las redes de víctimas.

Revelaciones

La revelación se produce después de que la empresa de ciberseguridad Bitdefender lanzara una herramienta universal de descifrado de REvil. Esta herramienta funciona para todas las víctimas cifradas hasta el 13 de julio del 2021.

La clave pública la puedes observar en la imagen de arriba y también te la compartimos abajo:

FF5EEDCAEDEE6250D488F0F04EFA4C957B557BDBDC0BBCA2BA1BB7A64D043A3D

Lo que dice el autor de la publicación anterior es que los afiliados no fueron los únicos que pudieron descifrar los sistemas que bloquearon con la muestra de ransomware REvil que recibieron.

Los operadores de REvil tenían una clave maestra que podían usar para restaurar archivos cifrados.

Investigador reveló el truco en julio.

Fabian Wosar, “asesino de ransomware” por excelencia y director de tecnología de Emsisoft, proporcionó a principios de julio una explicación clara de cómo funcionaba el esquema de cifrado de REvil.

El sucesor de GandCrab utiliza en su malware cuatro conjuntos de claves público-privadas responsables de las tareas de cifrado y descifrado:

  1. Un par de operador/maestro que tiene la parte pública codificada en todas las muestras de REvil
  2. Un par de campañas, cuya parte pública se almacena en el archivo de configuración del malware como un valor PK.
  3. También, un par específico del sistema: generado al cifrar la máquina, con la parte privada cifrada utilizando las claves públicas maestra y de campaña.
  4. Un par de claves generado para cada archivo cifrado

“La clave del archivo privado y la clave pública del sistema se utilizan como entradas para ECDH utilizando Curve25519. Esto para generar la clave Salsa20 (llamada secreto compartido) que se utiliza para cifrar el contenido del archivo”.

Fabian Wosar

La clave privada del sistema es esencial para desbloquear una máquina porque es la única necesaria para descifrar archivos individuales. Recuperarlo es posible con la clave privada maestra, disponible solo para los operadores de REvil, o con la clave de campaña que tenían los afiliados.

Clave

Wosar señala que la clave privada maestra era el seguro de REvil contra afiliados deshonestos, lo que les permitía descifrar a cualquier víctima. Esto también es lo que Bitdefender usó para su herramienta de descifrado de REvil. Y, probablemente lo que ayudó a las víctimas de Kaseya a recuperar archivos de forma gratuita.

Para acceder al portal de pagos de REvil, el ciberdelincuente de ransomware requería una gran cantidad de datos presentes en la nota de rescate. Esa cadena de caracteres aparentemente sin sentido incluía varios datos sobre la máquina, la campaña, la versión del malware utilizado y la clave privada del sistema.

Mantener un as en la manga que les daba a los operadores del ransomware un control total sobre el descifrado de cualquier sistema bloqueado por su malware. Es una práctica muy común en otros grupos de ransomware más nuevos.

Boguslavskiy dice que se rumoreaba que la banda de ransomware DarkSide ejecutaba sus operaciones de la misma manera.

Después de cambiar su nombre a BlackMatter, el ciberdelincuente se mostró abierto sobre esta práctica. Es decir, les hizo saber a todos que se reservaban el derecho de hacerse cargo de las negociaciones en cualquier momento, sin dar explicaciones.

El ingeniero y CEO de Advanced Intelligence, Vitali Kremez, dijo que las últimas muestras de REvil, que surgieron cuando la banda reinició las operaciones, ya no tienen la clave maestra que permitió el descifrado de cualquier sistema bloqueado con el ransomware REvil.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información