Киберкриминальные делки были неприятно удивлены, когда оказалось, что другие мошенники, «промышляющие в интернете», могут легко обокрасть своих «коллег по цеху», если у них будет такая возможность.
Киберпреступники, использующие схему «программа-вымогатель как услуга», в одном из хакерских форумов пожаловались на то, что группа, у которой они арендуют вредоносное ПО, могла использовать скрытый бэкдор для получения выкупа для себя.
REvil — одна из самых известных и наиболее распространенных форм программ-вымогателей, ставшая причиной нескольких серьезных инцидентов. Группа, стоящая за REvil, сдает свои программы-вымогатели в аренду другим криминалитетам в обмен на часть прибыли, которую эти филиалы получают, вымогая платежи в биткойнах в обмен на ключи дешифрования программ-вымогателей, которые нужны жертвам.
Но похоже, что для владельцев REvil этого мало: недавно было обнаружено, что в их продукте закодирован секретный бэкдор, который позволяет REvil восстанавливать зашифрованные файлы без участия аффилированного лица.
Таким образом, создатели REvil могут взять на себя переговоры с жертвами, захватить так называемые чаты «поддержки клиентов» и украсть себе выкуп.
Один пользователь форума заявил, что у него есть подозрения в отношении тактики REvil, и сказал, что их собственные планы вымогательства 7 млн долларов у жертвы внезапно сорвались. Они считают, что один из авторов REvil перевел переговоры на себя, а затем использовал бэкдор для расшифровки данных и и скрылся с деньгами.
Другой пользователь русскоязычного форума пожаловался, что устал от «паршивых партнерских программ», используемых группами вымогателей, которым «нельзя доверять», но также предположил, что REvil является одной из самых прибыльных схем вымогателя как услуги. То есть, мошенники-вымогатели все равно будут собираться, чтобы стать партнерами. Это особенно актуально сейчас, когда группа вернулась в строй после того, как летом у нее был перерыв.
Программы-вымогатели остаются одной из ключевых проблем кибербезопасности, с которыми сегодня сталкивается мир. Для жертв атак программ-вымогателей в конечном итоге не имеет значения, кто на другом конце клавиатуры требует оплаты за ключ дешифрования — многие просто предпочтут заплатить выкуп, считая это лучшим способом восстановления данных.
Но даже если жертвы заплатят выкуп — что не рекомендуется, потому что способствует увеличению числа атак программ-вымогателей — восстановление работоспособности корпоративной сети все равно может занять очень много времени, до нескольких месяцев.
Будь то REvil или любая другая банда вымогателей, лучший способ избежать прерывания атаки вымогателя — это, в первую очередь, предотвратить атаки.
Некоторые из ключевых способов, которыми организации могут помочь остановить атаки программ-вымогателей, — убедиться, что операционные системы и программное обеспечение в сети содержат последние обновления безопасности, чтобы киберпреступники не могли легко использовать известные уязвимости и получить возможность проникновения.
Также следует использовать многофакторную аутентификацию, чтобы не допустить, чтобы злоумышленники могли использовать украденные имена пользователей и пароли для перемещения по скомпрометированной сети.
Источник: ZDnet