Ga naar inhoud

Backdoor in REvil-ransomware maakt ontsleutelen bestanden mogelijk


Aanbevolen berichten

In recente exemplaren van de REvil-ransomware is een backdoor aangetroffen waarmee de ransomwaregroep bestanden kan ontsleutelen. Mogelijk om zo partners op te lichten, zo stelt onderzoeker Yelisey Boguslavskiy van securitybedrijf Advanced Intelligence.

REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. REvil stelt dat partners zeventig procent van het losgeld krijgen.

Via de backdoor kan de REvil-groep de onderhandelingen met een slachtoffer overnemen en zo zeventig procent van het losgeld verkrijgen dat eigenlijk naar de partner had moeten gaan. Volgens Boguslavskiy heeft de REvil-groep in het verleden ook van dubbele chats gebruikgemaakt. Via de chat kunnen slachtoffers onderhandelden met de REvil-partner.

Op een belangrijk moment tijdens de onderhandeling wisselde de REvil-groep de chat van de partner, waarbij de REvil-groep zich voordeed als slachtoffer en de onderhandelingen zonder te betalen stopte. Aan de andere kant zette de REvil-groep de chat met het echte slachtoffer voort en kon zo het volledige losgeld opstrijken, aldus de onderzoeker.

Boguslavskiy stelt in een LinkedIn-bericht dat de nu ontdekte backdoor mogelijk een zelfde doel dient, aangezien het de mogelijkheid biedt om bestanden te ontsleutelen als de onderhandelingen zijn afgerond. In de nieuwste exemplaren is de backdoor echter weer verwijderd. Mogelijk is dit gedaan om te voorkomen dat bijvoorbeeld securityteams of beveiligingsonderzoekers bestanden ontsleutelen.

Recentelijk presenteerde antivirusbedrijf Bitdefender een gratis decryptietool voor alle REvil-slachtoffers tot 13 juli van dit jaar. Boguslavskiy laat tegenover Threatpost weten dat criminelen nu denken dat de virusbestrijder de backdoorsleutel heeft bemachtigd die het voor de decryptietool gebruikte. Bitdefender stelde dat het samen met een niet nader genoemde opsporingsdienst de decryptietool heeft ontwikkeld.

 

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...