Хакерское сообщество негодует. Деньги их жертв утекают авторам арендуемого ими шифровальщика
Растет количество обвинений в адрес группировки REvil в том, что она переключает на себя переговоры с жертвами своих партнеров, оставляя тех без заработка. Эксперты считают, что в этом нет ничего удивительного.
Комиссия 30% процентов
Шифровальная группировка REvil, судя по многочисленным жалобам на хакерских форумах, активно обманывает собственных партнеров, лишая их заработка.
REvil долгое время работали по модели Ransomware-as-a-Service (шифровальщик как услуга), в рамках которой сторонние партнеры производили непосредственные атаки и заражения, после чего вели переговоры с жертвами о выкупе. В случае успеха партнеры оставляли себе большую часть заработка, выплачивая 30% создателям REvil.
Однако сейчас, после неожиданного «возвращения из мертвых» группировка REvil, похоже, поменяла тактику. Исследователи по безопасности компании AdvIntel, изучив новые вредоносные сэмплы, обнаружили в них подобие бэкдора, который позволяет перехватывать контроль над зашифрованными партнерами системами. Более того, отмечены «дублирующие чаты».
REvil, группировка, ответственная за ряд громких атак, временно свернула деятельность в середине июля 2021 г., отключив всю свою инфраструктуру. Однако уже в начале сентября REvil снова активировалась и принялась за новых жертв. Предположения о том, что ее инфраструктура сменила владельцев, пока ничем не подтверждаются.
Зачем нам лишние партнеры
Исследователи предполагают, что операторы REvil вклиниваются в переписку партнеров с жертвами, от имени последних сообщают первым об отказе платить, а затем договариваются с жертвами о сделке, оставляя 100% прибыли себе. Прямых доказательств этому у AdvIntel нет, однако эксперты другой фирмы — Flashpoint — утверждают, что видели на русскоязычном хакерском форуме Exploit активные обсуждения деятельности REvil, где группировку обвиняют в регулярном обмане своих партнеров.

Впрочем, в подтверждение этого Flashpoint публикует скриншот, содержание которого (на русском языке) никакого отношения к обвинениям против REvil не имеет. Там лишь обсуждается код шифровальщика.
Артем Сычев, «РТ-Информационная безопасность»: Через пару лет стоимость услуг информационной безопасности снизится благодаря автоматизации и широкому внедрению ИИ

Публикации Flashpoint недоступны из России без использования Tor или анонимайзеров.
«В том, что киберпреступники, что называется, “кидают” друг друга, нет ничего удивительного и неожиданного, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Криминал есть криминал во всем; совершенно закономерно, что друг к другу его деятели относятся без малейшего пиетета. Другое дело, что REvil таким образом рискует растерять всех своих партнеров. Но, судя по текущему поведению, это их мало волнует, пока есть заработок».