Творці віруса-вимагача REvil вбудували у програму таємний код і крали гроші в інших хакерів

5 жовтня 2021, 09:02
Читать новость на русском
Автор: Олександр Гайдамашко

Джерело:

ZDnet

На хакерських формах зчинилася паніка. Деякі користувачі, які брали в оренду вірус-вимагач REvil для шантажу з вимогою викупу, поскаржилися на незрозумілі зриви переговорів із жертвами і втрату грошей. Вони припустили, що розробники віруса залишили лазівку в коді, щоб перехоплювати доступ і гроші.

За ситуацією з самого початку спостерігали у компанії Flashpoint, яка працює у сфері кібербезпеки. 

Цікаво Китайські археологи знайшли людські рештки віком у 32 тисячі років

Що відбувається

Хакерське угруповання REvil відоме своїми атаками на великі компанії з метою викупу. Їхній вірус шифрує дані на серверах і пропонує заплатити за відновлення інформації. Однак це не єдина діяльність, яку ведуть зловмисники. Вони також здають свій вірус в оренду, отримуючи за це 30 відсотків від викупу.

  • Аналіз коду REvil показав наявність зашифрованого бекдора, який дозволяє членам угруповання перехоплювати переговори своїх замовників з жертвами.
  • Таким чином розробники вимагача видають себе за хакерів, відповідальних за злам, і забирають всю суму викупу собі.
  • Постраждала сторона натомість отримує універсальний ключ дешифрування, про існування якого стало відомо нещодавно.

За словами співробітників Flashpoint, новина викликала бурхливу дискусію серед хакерів-вимагачів. Деякі згадали, як їхні жертви погоджувалися заплатити викуп, але незабаром чомусь переставали виходити на зв'язок. Один з хакерів повідомив, що якось не зміг отримати сім мільйонів доларів викупу, який жертва готувалася йому перерахувати в обмін на ключ.

Ошукані "клієнти" визнають, що з цим нічого не вдіяти. До суду вони подати не можуть, оскільки сама їхня діяльність незаконна. А на шкоду репутації REvil, судячи з їхніх слів не зважають, адже впевнені, що й далі будуть отримувати замовлення на свої програми.

Проте це, схоже, не зовсім так. Винахідливі хакери все ж відреагували на такі заяви. Вони випустили нову версію віруса REvil, де вже немає бекдора і підтримки універсального ключа дешифрування.

Нагадаємо, нещодавно ми писали про звіт видання Bloomberg, згідно з яким хакери за допомогою вірусів-вимагачів атакували близько тисячі компаній у 17 країнах. Атаки здійснювало угруповання REvil, багато учасників якого – російськомовні. Більшість компаній, які постраждали, надають IT-послуги малого та середньому бізнесу.