Amikor a hóhért akasztják…

Sajnos túl jó üzletnek számít a zsarolóvírus, sőt már évek óta elérhető bérelhető szolgáltatás, RaaS azaz Ransomware as a Service formájában is. Ám az élet nem habos torta, ahol nem mi vagyunk, ott az ellenség – amint az a Tanúban is elhangzik. Ahogy a Darkneten is lehet, hogy az éppen felbérelhető bérgyilkos egy fedett nyomozó, vagy egy bűnözők által kedvelt ANOM nevű titkosított üzenetküldő valójában meg az FBI-tól származik. A mai történetünk is hasonló húrokat pendít meg.

 

Revil, vagyis Ransomware Evil – van-e, ki e nevet nem ismeri? Mint az közismert, ez a bűnözői csapat állt az Acer, és a Kaseya felhőalapú felügyeleti szolgáltató elleni zsarolóvírus támadások mögött.

A csoport egy jó ideje adja bérbe a ransomware erőforrásait más elkövetőknek, cserébe pedig ezekből a harmadik felek általi támadásokból származó Bitcoin kifizetésekből is részesülnek, amiket az áldozatok fizetnek a bérlőknek a ransomware dekódoló kulcsokért. Eddig legalábbis papír forma szerint így zajlott a dolog, ám most úgy tűnik megváltozott a modell.

Talán sokan emlékeznek arra az összeállításunkra, amely az androidos megfigyelő-kémkedő alkalmazásokról szólt. Ezekről a mobilos megfigyelő-kémkedő alkalmazásokról – amelyeket a zaklatók szoktak letölteni és használni áldozataik ellenaz derült ki, hogy számos súlyos biztonsági rést tartalmaznak, melyek révén távoli támadók, vagy éppen maga a szoftverek fejlesztői nem csak az áldozat, hanem a megfigyelő ellen is tudnak kémkedni.

Vagyis itt a fagyi nem kicsit nyalt vissza.

Ezzel analóg módon most az derült ki, hogy Revil csapat nem elégedett meg a normál részesedéssel a váltságdíjakból, hanem nagy valószínűséggel elhelyeztek a programjukban egy olyan hátsóajtót is, ahol a ransomware tárgyalásokat is figyelemmel kísérhették.

És ha elengedő nagy váltságdíjjal kecsegtetett egy üzlet, ők maguk közvetlenül felvették a kapcsolatot az áldozatokkal, és ők kasszírozták be a feloldó kulcsért járó összeget kizárva így saját bérlőiket.

Egy beszámoló szerint például már éppen nyélbe ütöttek volna egy 7 millió dollárnak megfelelő összegű “üzletet” a RaaS-t használó bűnözők, mikor a zsarolási történet varázsütésre egyszer csak véget ért. Utólag pedig azt gyanítják, a fenti ok vezethetett a váratlan végkifejlethez. Több fórumon, több különböző incidens kapcsán egybehangzóan megismétlődött ez a vélelmezett forgatókönyv.

Mondhatjuk erre, hogy csalót becsapni ugyan nem vétek, de a felhasználók szintjén ez már teljesen irreleváns, hiszen itt szinte mindegy, végül ki kopasztja meg az áldozatot, számunkra mindkettő egyformán bűnöző. Emiatt a védekezést és megelőzést továbbra is érdemes magas szinten tartani: végpont és szervervédelem, frissítések, rendszeres mentés, autentikáció, titkosítás, többtényezős hitelesítés és hasonlók – ahogy azt már többször is írtuk. Aki pedig a címképet esetleg nem ismerné, annak mindenképpen érdemes megnéznie A kilenc 9 királynő című zseniális mozifilmet.

Forrás: https://antivirus.blog.hu/