Verschillende ransomwarebendes zijn de laatste tijd zelf slachtoffer geworden van cybercriminelen. De ransomwaregroepen zijn niet altijd zelf de mensen die de ransomware maken, maar huren deze van andere criminelen of groepen. Tot onze grote verbazing blijkt dus dat de malware-makers ook niet te vertrouwen zijn. Ze gaan er vandoor met het zuurverdiende losgeld dat hun cliënten hebben buitgemaakt. Tragisch.
Ransomware as a Service
Het is welbekend dat de cybercriminelen die malware en ransomware maken hun software als pakket verhuren aan minder technische criminelen, het zogeheten Ransomware-as-a-Service. ZDNet meldt dat bijvoorbeeld ook de schimmige groep achter de beruchte REvil ransomware, gebruikt bij de prominente aanvallen op Kaseya en Acer, hun software verhuurt aan andere partijen. Als betaling eisen de criminelen hierbij een deel van het losgeld op.
Backdoor
Tot groot ongenoegen van het criminele clientèle van REvil ontdekte een andere zogeheten threat actor een geheime backdoor in de software van REvil. Hiermee konden de makers op afstand de bestanden weer decrypten en de chat overnemen, zonder dat de huurder van de software hier wat over te zeggen had.
Normaliter kan het ontsleutelen alleen met een zogeheten decryption key, die in handen is van de huurders. In andere woorden, de REvil groep kan dankzij deze backdoor de getroffen partij zelf ook benaderen en het losgeld onder de neus hun eigen klanten vandaan onderhandelen.
Fluiten naar je losgeld
Cybersecuritybedrijf Flashpoint meldt dat de bevindingen duidelijk voor onrust zorgen op schimmige Russische hackingfora. Zo claimt een gebruiker dat een onderhandeling voor losgeld ter waarde van 7 miljoen dollar plotseling stil is komen te liggen. Andere gebruikers klagen over het “vreselijke partner programma” en het feit dat ze eigenlijk niets tegen de groep kunnen beginnen: “Alsof je Stalin probeert aan te klagen” schrijft een gefrustreerde cybercrimineel.
Ondanks het feit dat dit de reputatie van ransomwaremakers niet ten goede komt, geeft Flashpoint ook aan dat de REvil ransomware met een aandeel van 13% alsnog een van de meest gebruikte RaaS pakketten blijft.
